-
Junior Member
- Вес репутации
- 61
Подозрение на вирусы
Стоял NOD32, после его обновления комп перестал загружаться в нормальном режиме. Загрузил в безопасном, просканировал все CureIt, он нашел что-то и удалил. Попробовал загрузить в нормальном режиме - не загружается, выдает окошко с диалогом ввода пароля и через 5 секунд перезагружается. Снова загрузился в безопасном режиме и снес НОД, после этого комп загрузился в нормальном режиме. Но мне кажется, что вирусы в нем остались. Посмотрите пожалуйста.
Последний раз редактировалось EgorovEgor; 30.10.2007 в 16:01.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O4 - HKLM\..\Run: [System] C:\WINDOWS\msdnc4.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\D10E~1\LOCALS~1\Temp\winlogon.exe
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\System32\drivers\protect.sys','');
QuarantineFile('C:\DOCUME~1\D10E~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('c:\windows\msdnc4.exe','');
DeleteFile('c:\windows\msdnc4.exe');
DeleteFile('C:\DOCUME~1\D10E~1\LOCALS~1\Temp\winlogon.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ICF');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12341
3. Почистить обязательно временные файлы, можно воспользоваться бесплатной ccleaner, при установке нужно убрать галку с установки тулбара yahoo.
http://www.filehippo.com/download/05...0340/download/
4.сделать новые логи.
Последний раз редактировалось drongo; 11.09.2007 в 12:27.
-
-
Junior Member
- Вес репутации
- 61
Сделал все как Вы сказали.
Карантин отправил.
Файл сохранён как 070911_034921_карантин_46e65691e629c.zip
Размер файла 119111
MD5 f0a76f8624e822889257ddb2550a9de6
Высылаю новые логи.
Последний раз редактировалось EgorovEgor; 30.10.2007 в 16:01.
-
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\System32\drivers\protect.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Для закрытия потенциальных дырок, нужно выполнить скрипт:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
Чтобы уменьшить шанс заражения, советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!
Удачи!
P.S.второй пункт правил похоже пропустили, выполнить сейчас.
Поставить и настроить файрвол/антивирус.
Последний раз редактировалось drongo; 11.09.2007 в 13:28.
-
-
Junior Member
- Вес репутации
- 61
Скрипт выполнил.
Добавлено через 2 минуты
СПАСИБО
Последний раз редактировалось EgorovEgor; 11.09.2007 в 13:28.
Причина: Добавлено
-
После выполнения пункта 2, сделайте для порядка новые логи. И поменяйте на всякий случай все пароли и не сидеть в инете под админом как я уже говорил
То что было :
protect.sys - > http://virusinfo.info/showpost.php?p...&postcount=289
winlogon.exe -> Trojan-Proxy.Win32.Small.fz (kaspersky)
msdnc4.exe -> Packed.Win32.PolyCrypt.d (kaspersky)
Последний раз редактировалось drongo; 11.09.2007 в 13:45.
-
-
Junior Member
- Вес репутации
- 61
Поставил Firefox, урезал пользователю права. Вот новые логи.
Последний раз редактировалось EgorovEgor; 30.10.2007 в 16:01.
-
когда урезали права, вы забыли что запускать avz & hijackthis нужно всё равно под админом,(правой кнопкой run as) иначе толку от них нет
Также, мало поставит файрфокс, нужно запретить выход експлореру в инет и объяснить - что файрвокс намного лучше с большими возможностями . Куча дополнений на любой вкус:https://addons.mozilla.org/ru/firefox/browse/type:1
P.S. Привет Оле
Последний раз редактировалось drongo; 11.09.2007 в 14:59.
-
-
Junior Member
- Вес репутации
- 61
Исправляюсь, вот новые логи.
А каким образом полностью запретить выход эксплореру в сеть, все его ярлыки с рабочего стола убрал.
Последний раз редактировалось EgorovEgor; 30.10.2007 в 16:01.