Отправляется почта с компьютера без моего участия - симантек показывает отправку. Запускал CureIt в безопасном режиме, нашел несколько вирусов и изолировал их. Выполнил как сказано в описании avz и hijackthis. Файлы приложил. Помогите пожалуйста.
Отправляется почта с компьютера без моего участия - симантек показывает отправку. Запускал CureIt в безопасном режиме, нашел несколько вирусов и изолировал их. Выполнил как сказано в описании avz и hijackthis. Файлы приложил. Помогите пожалуйста.
Последний раз редактировалось Denis79; 24.01.2008 в 14:30.
выполните скрипт...
пришлите карантин согласно приложения 3 правил..Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('\??\C:\WINDOWS\system32\ati2psag.sys',''); QuarantineFile('C:\WINDOWS\system32\idaw64.exe',''); DeleteFile('C:\WINDOWS\system32\idaw64.exe'); DeleteFile('\??\C:\WINDOWS\system32\ati2psag.sys'); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA'); DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe '); BC_DeleteSvc('FCI'); BC_DeleteSvc('ICF'); BC_DeleteSvc('ati2psag'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
повторите логи...
--
Выполнить скрипт:
Загрузить, если что-то попадет в карантин.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA',''); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe',''); QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA',''); QuarantineFile('c:\windows\system32\svchost.exe:exe.exe',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Выполнять до скрипта V_Bond
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполнил последовательно скрипты PavelA, затем V_Bond. Карантин приложил, повторно выполнил проверку, логи приложил.
Последний раз редактировалось Denis79; 24.01.2008 в 14:30.
ВИРУСЫ СЮДА НИЗЯ!!!! Грузить через ссылку вверху темы.
Получишь "нарушение" от модеров.
Добавлено через 15 минут
Trojan.Win32.Agent.bwn - 'c:\windows\system32\svchost.exe:ext.exe:$DATA' (по Касперскому)
Последний раз редактировалось PavelA; 09.10.2007 в 14:28. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
А почему восстановление системы не отключено?
Там между прочим копия вашего зловреда лежит:
Отключите его сейчас!C:\System Volume Information\_restore{77CE10D8-AC72-4DC0-8D32-8EC180455803}\RP1\A0001010.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
Посмотрите, что вам нужно из этого:
что не нужно - отключим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные >>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Да. Заново логи, а то может что-то как птица Феникс восстановилось.
Карантин AVZ тоже можно почистить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Проверил еще раз. Логи в приложении.
Последний раз редактировалось Denis79; 24.01.2008 в 14:30.
Логи чистые.
Что не нужно? Будем закрывать.
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Нет, не надо ничего закрывать.
Огромное спасибо за помощь.
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Удачи!
Уважаемый(ая) Denis79, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.