-
Vundo Trojan
Vundo Trojan. NAV начал ловить Downloader в C:\Doc & Set\...\Loc Set\Temp Inter Files\Content.IE5\..дальше варианты разные (или сразу файл или в папке). Content.IE5 в Temp. Internet Files не обнаруживается. NAV Downloader успешно удаляет, но через некоторое время опять отлавливает. Также NAV ловит других злодеев, но удаляет лишь частично.
После проверки XoftSpySE обнаруживает в реестре 5 записей от Vundo Trojan. Удаляем. После перезагрузки они опять появляются.
Symantec TrojanVundo Removal Tool его в упор не видит
Удалял всю автозагрузку, отключал сеть - не помагает.
HELP!!!(помогите).
С уважением Andran ([email protected]).
Последний раз редактировалось Andran; 20.03.2008 в 23:56.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ddabc.dll','');
QuarantineFile('C:\WINDOWS\system32\vtutu.dll','');
QuarantineFile('C:\WINDOWS\system32\mljgd.dll','');
QuarantineFile('C:\WINDOWS\system32\pmkhf.dll','');
QuarantineFile('C:\WINDOWS\system32\jkkjk.dll','');
QuarantineFile('C:\WINDOWS\system32\mllmn.dll','');
QuarantineFile('winwil32.dll','');
QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
QuarantineFile('\SystemRoot\System32\Drivers\sw848b.SYS','');
QuarantineFile('C:\WINDOWS\system32\winwil32.dll','');
DeleteFile('C:\WINDOWS\system32\winwil32.dll');
DeleteFile('winwil32.dll');
DeleteFile('C:\WINDOWS\system32\mllmn.dll');
DeleteFile('C:\WINDOWS\system32\jkkjk.dll');
DeleteFile('C:\WINDOWS\system32\pmkhf.dll');
DeleteFile('C:\WINDOWS\system32\mljgd.dll');
DeleteFile('C:\WINDOWS\system32\vtutu.dll');
DeleteFile('C:\WINDOWS\system32\ddabc.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
пофиксите...
Код:
O2 - BHO: (no name) - {06E04E5A-E768-44D1-ACC2-79D7D24581AF} - (no file)
O2 - BHO: (no name) - {0D1559BC-3FAD-4C49-A3EE-560AF786940B} - C:\WINDOWS\system32\mllmn.dll
O2 - BHO: (no name) - {1472CF55-9B6E-45E4-B2CA-F150E9D397C5} - C:\WINDOWS\system32\jkkjk.dll
O2 - BHO: (no name) - {37DB338D-B113-44FB-A338-14AB24F057AA} - C:\WINDOWS\system32\pmkhf.dll
O2 - BHO: (no name) - {723991F8-4DEB-462D-928D-CECB5032572A} - C:\WINDOWS\system32\mljgd.dll
O2 - BHO: (no name) - {7C79B3D7-5157-4D4F-83C7-2C1578D9DABC} - C:\WINDOWS\system32\vtutu.dll
O2 - BHO: (no name) - {7CF6F519-324F-4F39-8FC1-278306A0CBE7} - C:\WINDOWS\system32\ddabc.dll
O2 - BHO: (no name) - {8EE8215E-5075-4487-B7EA-FAAFE2EDB796} - (no file)
O2 - BHO: (no name) - {A59AA054-64A8-46AA-B184-ADE073127E33} - (no file)
O2 - BHO: (no name) - {A72D85B3-29D5-40A7-B566-15E6E4BC3003} - (no file)
O2 - BHO: (no name) - {B8FFEDEF-62E1-4FA2-986D-3E7883BA0B00} - (no file)
O2 - BHO: (no name) - {C091FE81-260A-41A0-A4DC-6162363C2234} - (no file)
O2 - BHO: (no name) - {D386E0A6-9C12-466D-B698-6E371E283356} - (no file)
O20 - Winlogon Notify: winwil32 - C:\WINDOWS\SYSTEM32\winwil32.dll
пришлите карантин согласно приложения 3 правил ..
повторите логи...
-
-
Сделал как приказали ( изв если что не так)
Что-то Virus.zip загрузить не удаётся (наверно туп).
Понял. Отправил.
Прошло N минут. Заразы пока не видать (уух)!!!
Последний раз редактировалось Andran; 20.03.2008 в 01:34.
-
У Вас были
C:\WINDOWS\system32\mllmn.dll и ко not-a-virus:AdWare.Win32.Virtumonde.wl
C:\WINDOWS\system32\winwil32.dll - Trojan.Win32.Dialer.qn
(по Касперскому)
C:\WINDOWS\system32\ddabc.dll - Trojan.Click.4341(DrWeb)
tcpip.sys - чистый
sw848b.SYS - чистый
В логах всё чисто.
Что из этого вас нужно?остальное пофиксим
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Последний раз редактировалось Muzzle; 09.10.2007 в 04:16.
-
-
-
Вот скрипт для отключения служб
Код:
begin
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
С чистыми файлами ничего делать не нужно пускай себе живут
Если проблем больше нет,то лечение можно считать законченным.
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
-