Они всё время появляются...
Каждые 3 -4 дня я проверяю комп AVZ и Corelt, они появляются, всё время разные. А так как я недавно лишился личного сисадмина, то стал совсем беспомощен. Подскажите, что не так. Заранее спасибо.
P.S. Так и не понял, вложились ли логи.... Простите ламера.
С уважением
Борис Репетур.
Последний раз редактировалось Repetur; 15.08.2007 в 13:54.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Кто появляется? и логи вы не прикрепили.
Появляются разные трояны. Кажется, что-то прикрепилось...
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\WebAssist.dll',''); QuarantineFile('C:\WINDOWS\system32\winmds.exe',''); QuarantineFile('C:\WINDOWS\system32\YKEmlo6o.exe',''); QuarantineFile('C:\WINDOWS\system32\Q0cqc75y.exe',''); QuarantineFile('trkwvga2.dll',''); QuarantineFile('statamc.dll',''); QuarantineFile('ifcstat.dll',''); QuarantineFile('ifcmgr32.dll',''); QuarantineFile('e1.dll',''); QuarantineFile('diagamc.dll',''); QuarantineFile('confifc.dll',''); QuarantineFile('C:\WINDOWS\system32\smlomswc.dll',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('confifc.dll'); DeleteFile('e1.dll'); DeleteFile('ifcmgr32.dll'); DeleteFile('ifcstat.dll'); DeleteFile('C:\WINDOWS\system32\Q0cqc75y.exe'); DeleteFile('C:\WINDOWS\system32\YKEmlo6o.exe'); DeleteFile('C:\WINDOWS\WebAssist.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пофиксите в HijackThis:
Содержимое карантина AVZ пришлите согласно приложению 3 правил.Код:F2 - REG:system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe O20 - AppInit_DLLs: trkwvga2.dll e1.dll confifc.dll ifcstat.dll diagamc.dll statamc.dll O20 - Winlogon Notify: dbgmgr - ifcmgr32.dll (file missing) O20 - Winlogon Notify: smlomswc - C:\WINDOWS\system32\smlomswc.dll (file missing)
Сделайте новые логи.
I am not young enough to know everything...
Я выполнил скрипт в avz, но в задании пофиксить соответствуют только первая и третья строчки из кода, остальные отличаюся, второй совсем нет. Может потому, что комп работал какое-то время и что-то изменилось? Или я что-то не так делаю. Изучаю правила внимательно как могу... Вот последний лог.
Последний раз редактировалось Repetur; 16.08.2007 в 02:43.
Это нормально, кое-что изменилось после выполнения скрипта.
Например, вместо
O20 - Winlogon Notify: dbgmgr - ifcmgr32.dll (file missing)
могло получиться что-то вроде
O20 - Winlogon Notify: dbgmgr - (no file)
но все равно видно, что это та же строчка, и ее надо фиксить.
Ждем новые логи.
I am not young enough to know everything...
Вы невероятно оперативны... Спасибо! ) Я вложил новый лог в предыдущее сообщение. Если не составит труда, можно указать поточнее? А то боюсь напотрачить...
Дык вы ж ничего не пофиксили! Надо фиксить следующее:
Что значит "пофиксить с помощью HijackThis"?Код:F2 - REG:system.ini: Shell= O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll (file missing) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O20 - AppInit_DLLs: trkwvga2.dll diagamc.dll statamc.dll O20 - Winlogon Notify: dbgmgr - C:\WINDOWS\ O20 - Winlogon Notify: smlomswc - C:\WINDOWS\system32\smlomswc.dll (file missing)
После этого сделайте заново все три лога по правилам.
P.S. Карантин ваш отсутствует. Надо прислать.
I am not young enough to know everything...
Карантин я закачал, правда не понял куда...) Вот логи...
Извините!!! Прислал старые!! исправляюсь....
Последний раз редактировалось Repetur; 16.08.2007 в 04:16.
И вот...
Последний раз редактировалось Repetur; 16.08.2007 в 04:17.
Ну как? Жить будет? И карантин дошел до Вас? Или я опять что-то напутал...
В карантин попали:
WebAssist.dll - not-a-virus:AdWare.Win32.BHO.cz
winmds.exe - Trojan.Win32.Dialer.tn
ntos.exe - Trojan-Spy.Win32.Bancos.aam
Судя по логам, удаление прошло успешно, в живых остался только один.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\winmds.exe'); BC_DeleteFile('C:\WINDOWS\system32\winmds.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Удалите все задания в Планировщике. Если пользоваться им не собираетесь, лучше совсем отключить службу "Планировщик заданий" (Task Scheduler).
Добавлено через 11 минут
После этого перезагрузитесь и сделайте новые логи, начиная с п.10 правил.
Последний раз редактировалось Bratez; 16.08.2007 в 14:34. Причина: Добавлено
I am not young enough to know everything...
Ох, вроде не пользуюсь... А где он? И где отключается?
"Панель управления"->"Назначенные задания" - здесь "живут" задания.Сообщение от Repetur
"Панель управления"->"Администрирование"->"Службы",
Правой кнопкой мыши по "Планировщик заданий" выбрать "Свойства.
В "свойствах" тип запуска указать:"Отключено".
The worst foe lies within the self...
Скрипт выполнил, задания удалил.
Теперь все чисто. Надеюсь, они больше не появляются?
I am not young enough to know everything...
Моя благодарность не знает границ! И не только моя, но и работников программы Галилео на СТС, журнала Игромания, и многих других, для которых на ЭТОМ своём несчастном компьютере, дома, я записываю дикторские тексты. Если ОНИ опять придут, я знаю, где искать воинов.
С почтением Борис Репетур (Бонус, экс-ведущий программы От Винта)
P.S. В процессе всего этого дела я не отключал Восстановление системы. Это не криминально? И ещё - с тех пор, как я лишился сисадмина, мои пиратские винды ни разу не обновлялись. Не грозит это вновь приходом ИХ? Спасибо Вам громадное.
Еще как криминально! В контрольных точках наверняка полно заразы, которая запросто может восстановиться! От души надеюсь, что этого не случилось. Отключите, чтобы все эти КТ очистить, потом можно включить обратно. На всякий случай неплохо бы логи еще раз сделать.В процессе всего этого дела я не отключал Восстановление системы. Это не криминально?
Правильный вопрос! Грозит, ибо в вашей системе есть уже известные, но не закрытые уязвимости. Обновляться следует регулярно. Рекомендую установить вот это (прилично сэкономите время и трафик):винды ни разу не обновлялись. Не грозит это вновь приходом ИХ?
http://poleznosti.ru/soft/file_catal...20060821091454
I am not young enough to know everything...
Выключил-включил восстановление. Вот логи. Которые на всякий случай... )
Уважаемый(ая) Repetur, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
