Вопрос ребром:
Trojan-Downloader.Win32.Agent.bwv и Trojan.Win32.Agent.aqu - это "двое из ларца" или каждый из них сам по себе?
Вопрос ребром:
Trojan-Downloader.Win32.Agent.bwv и Trojan.Win32.Agent.aqu - это "двое из ларца" или каждый из них сам по себе?
Последний раз редактировалось Ивпал; 09.10.2007 в 22:04.
Выполните скрипт в AVZ:
После перезагрузки пришлите карантин согласно приложению 3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\hdbywupc.dll',''); QuarantineFile('C:\WINDOWS\system32\gailg.dll',''); QuarantineFile('C:\WINDOWS\system32\clsevnt.dll',''); DeleteFile('C:\WINDOWS\system32\clsevnt.dll'); DeleteFile('C:\WINDOWS\system32\gailg.dll'); DeleteFile('C:\WINDOWS\System32\hdbywupc.dll'); DeleteFile('C:\WINDOWS\system32\fotnujou.dll'); DeleteFile('C:\WINDOWS\system32\gactqauh.dll'); DeleteFile('C:\WINDOWS\system32\hjchkaob.dll'); DeleteFile('C:\WINDOWS\system32\hjmsibrh.dll'); DeleteFile('C:\WINDOWS\system32\hqcoxwbw.dll'); DeleteFile('C:\WINDOWS\system32\pkyxpwyj.dll'); DeleteFile('C:\WINDOWS\system32\plaeadod.dll'); DeleteFile('C:\WINDOWS\system32\pmpgmtyb.dll'); DeleteFile('C:\WINDOWS\system32\vdddyelh.dll'); DeleteFile('C:\WINDOWS\system32\yuurjrfj.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Добавлено через 1 минуту
Пофиксите в HijackThis:
и сделайте новые логи.Код:O2 - BHO: CIEPl Object - {F3727275-224F-4AB0-8642-7D461EFB82D8} - C:\WINDOWS\system32\gailg.dll O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\hdbywupc.dll",setvm O20 - Winlogon Notify: clsevnt - C:\WINDOWS\SYSTEM32\clsevnt.dll O20 - Winlogon Notify: gailg - C:\WINDOWS\SYSTEM32\gailg.dll
Последний раз редактировалось Bratez; 14.09.2007 в 15:13. Причина: Добавлено
I am not young enough to know everything...
СПАСИБО! Всё Ок?
Последний раз редактировалось Ивпал; 09.10.2007 в 22:04.
в логах чисто ....
осталось разобраться что из этого вам нужно ?
Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Вероятно, только автозапуск с CD-ROM
Остальное отключу.
Еще раз - спасибо!
атоматизируем ....
выполните скрипт..
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); end.
Уважаемый(ая) Ивпал, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.