Здравствуйте. За последнюю неделю у меня были угнаны/(сломаны?) акауны на рапиду. Программа Ad-Aware нашла Win32.TrojanPWS.LdPinch который не смогла удалить самостоятельно.
Прилагаются сканы. (К сожалению не смог отключить NOD32 ver.3 beta)
Здравствуйте. За последнюю неделю у меня были угнаны/(сломаны?) акауны на рапиду. Программа Ad-Aware нашла Win32.TrojanPWS.LdPinch который не смогла удалить самостоятельно.
Прилагаются сканы. (К сожалению не смог отключить NOD32 ver.3 beta)
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\docume~1\chukipoo\applic~1\slowth~1\cast inter hope.exe',''); QuarantineFile('C:\WINDOWS\system32\emfxp.dll',''); QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll',''); QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll',''); DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll'); DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пофиксите в HijackThis:
Содержимое карантина пришлите согласно приложению 3 правил.Код:O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file) O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll
I am not young enough to know everything...
Все то что было помещено в карантин AVZ + AdAware log
Последний раз редактировалось Masterpiece; 15.09.2007 в 15:36.
1. Уберите карантин из сообщения.
Его надо отправить по ссылке "Прислать запрошенные файлы" вверху темы.
2. Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin DeleteFile('C:\WINDOWS\Downloaded Program Files\CONFLICT.1\launcher.ocx'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
3. Сделайте новые логи.
I am not young enough to know everything...
Выполните скрипт в AVZ:
Зайти в планировщуик задач и удалить задание BF3B838D9CAC3111.jobКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\docume~1\chukipoo\applic~1\slowth~1\cast inter hope.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Насчёт ваших дырок в системе:
Советую всё залатать, чтобы это сделать нужно выполнить следующий скрипт:Код:Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry) >> Службы: разрешена потенциально опасная служба TermService (Terminal Services) >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service) >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: разрешен автоматический вход в систему
P.s.Чтобы уменьшить шанс заражения, на будущее :Код:begin SetServiceStart('RemoteRegistry', 4); SetServiceStart('TermService', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('Schedule', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('RDSessMgr', 4); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','AutoAdminLogon', '0'); RebootWindows(true); end.
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
Последний раз редактировалось drongo; 16.09.2007 в 15:39.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Пуск - настройка-панель управления- назначенные задания - там и удали
это планировщик заданий
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Последние логи
Последний раз редактировалось Masterpiece; 16.09.2007 в 16:16.
Где карантин, как просил Bratez? http://virusinfo.info/showpost.php?p=134876&postcount=2
Да вроде всё. Только зря ресурсы компьютера на все анти тратишь, могут ведь и законфликтовать если знают того же самого. adaware можно удалить, мало знает всё равно .
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Последний раз редактировалось Masterpiece; 16.09.2007 в 16:20. Причина: Добавлено
Надеюсь что сейчас все правильно
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\mp3 player utilities 4.00\\deldrv.exe - not-a-virus:RiskTool.Win32.Deleter.e
Уважаемый(ая) Masterpiece, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.