последний карантин чистый,повторите логи.
последний карантин чистый,повторите логи.
Новые логи
+ каспер стал ругаться msq23.exe
выполните скрипт....
похоже BACKDOOR.SDBOTКод:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('c:\windows\system32\msq23.exe',''); DeleteFile('C:\WINDOWS\System32\msq23.exe'); ExecuteSysClean; BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
пришлите карантин согласно приложения 3 правил ....
Последний раз редактировалось V_Bond; 03.09.2007 в 17:38.
Дык что ж вы хотите:
Система - решето, не успеваем одно вылечить, как другое лезет.Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Выполните скрипт:
Поищите файлы через AVZ, что найдется - пришлите по правилам:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\msq23.exe'); BC_DeleteFile('C:\WINDOWS\System32\msq23.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
LOL.EXE
mgsguard32.exe
s3cure.exe
I am not young enough to know everything...
В дополнение: после выполнения скриптов, предложенных V_Bond и Bratez, пофиксите в Hijackthis, если останутся, строки:И выполните еще один скрипт:Код:O4 - HKLM\..\Run: [Winsock2 wqr1s] M32\LOL.EXE O4 - HKLM\..\Run: [Internet Security Service] msq23.exe O4 - HKLM\..\RunServices: [Internet Security Service] msq23.exe O4 - HKCU\..\Run: [Internet Security Service] msq23.exeСистема будет перезагружена. После перезагрузки, содержимое карантина загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=12038 , как написано в прил.3 правилКод:begin QuarantineFile('c:\windows\system32\winlogon.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
И вот это гляньте (из вашего лога):
Если что-то из перечисленного нужно - скажите, остальное исправим.Код:8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений) >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
отправил
Добавлено через 46 секунд
AVZ ни че не нашла
Добавлено через 1 минуту
Карантин отправил
Файл сохранён как 070903_091433_virus1_46dc16c9c3e25.zip
Добавлено через 29 минут
Да вроде как ни че не нужно
Кроме администратора
Последний раз редактировалось drug; 03.09.2007 в 18:44. Причина: Добавлено
c:\windows\system32\msq23.exe
c:\windows\system32\winlogon.exe судя по вирустотал чистый .....Код:AntiVir 7.4.1.66 2007.09.03 HEUR/Malware AVG 7.5.0.485 2007.09.03 Packed.Pestil eSafe 7.0.15.0 2007.09.02 suspicious Trojan/Worm Ikarus T3.1.1.12 2007.09.03 Backdoor.Win32.Cakl.b Panda 9.0.0.4 2007.09.03 Trj/LdPinch.AKN Rising 19.39.02.00 2007.09.03 Backdoor.Mybot.nhh VBA32 3.12.2.3 2007.09.03 suspected of Trojan-Spy.Banker.2 Webwasher-Gateway 6.0.1 2007.09.03 Heuristic.Malware
выполните скрипт ...
повторите логи...Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('Schedule', 4); SetServiceStart('Alerter', 4); SetServiceStart('Messenger', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
Последние логи
ничего вредоносного не обнаружено....
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
- Получено карантинов: 6
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\msq23.exe - Backdoor.Win32.IRCBot.ajm (DrWEB: Win32.HLLW.MyBot)
- c:\\windows\\system32\\slmss.exe - Backdoor.Win32.Akbot.e (DrWEB: BackDoor.IRC.Akbot)
Уважаемый(ая) drug, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.