Здравствуйте!
Были обнаружены "Brontok.AQ" и "BackDoor.Generic.1138"
При входе в систему ошибка - "C:\WINDOWS\eksplorasi.exe"
Подскажите, пожалуйста.
Здравствуйте!
Были обнаружены "Brontok.AQ" и "BackDoor.Generic.1138"
При входе в систему ошибка - "C:\WINDOWS\eksplorasi.exe"
Подскажите, пожалуйста.
1. Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.Код:R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\eDStoolbar.dll',''); QuarantineFile('C:\WINDOWS\eksplorasi.exe',''); DeleteFile('C:\WINDOWS\eksplorasi.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(9); ExecuteRepair(12); ExecuteRepair(13); RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12825
3.я так понял, антивирус у вас нод, так почему виден симантек? Нужно удалить симантек совсем. http://service1.symantec.com/SUPPORT...05033108162039
4.выполнить пункт 2 правил.
5. сделать новые логи.
Последний раз редактировалось drongo; 29.09.2007 в 15:30.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Бронток видимо уничтожен антивирусом, остались только следы.
Пофиксите в HijackThis:
и сделайте в AVZ: Файл - Восстановление системы - п.13 - Выполнить.Код:R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
Еще посмотрите, что вам нужно из этого:
(что не нужно - поправим).Код:>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
drongo, выполнил.
Как говориться молчание- знак согласия
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Пофиксилось не все, запустить ещё раз hijack this и пофиксить то что указал выше.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('symlcbrd'); BC_DeleteSvc('symlcsvc'); BC_DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcnet.dll'); BC_DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe'); BC_DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys'); BC_ImportDeletedList; SetServiceStart('TermService', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('Schedule', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('RDSessMgr', 4); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
Последний раз редактировалось drongo; 29.09.2007 в 20:04.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Благодарю вас!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) JGB, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.