-
Full Member
- Вес репутации
- 64
Снова трояны
Стал странно работать интернет эксплорер. При открытии нового окна зависал. Др. Веб при полной проверке обнаруживает троянов. Самое интересное что пользователь работает с ограниченными правами и отключенными службами по советам книги про безопасность.
Последний раз редактировалось Rogoff; 14.01.2008 в 12:47.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\95E4~1\LOCALS~1\Temp\qwer.dll','');
DeleteFile('C:\DOCUME~1\95E4~1\LOCALS~1\Temp\qwer.dll');
BC_DeleteFile('C:\DOCUME~1\95E4~1\LOCALS~1\Temp\qwer.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=13438
Почистите временные файлы интернета и папку C:\Documents and Settings\Макс\Local Settings\Temp\
И что за tcpip.sys у вас на рабочем столе?
Повторите логи.
-
-
Full Member
- Вес репутации
- 64
скрипт выполнен, карантин загружен:
Файл сохранён как 071022_211823_virus_471d59ef67c1c.zip
Размер файла 25317
MD5 799b933eaddf909335ea1dcaa0cd3d2e
Файл tcpip.sys остался на рабочем столе после прошлого лечения, видимо забыл его удалить.
Логи прилагаются.
Последний раз редактировалось Rogoff; 14.01.2008 в 12:47.
-
Пофиксите в HijackThis:
Код:
O2 - BHO: ShellEx_Str Class - {C666CF63-767F-4831-94AC-E683D962C63C} - C:\DOCUME~1\95E4~1\LOCALS~1\Temp\qwer.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Пришлите по правилам файл
C:\windows\system32\drivers\ndis.sys
I am not young enough to know everything...
-
-
Full Member
- Вес репутации
- 64
строки пофиксил, файл закачал
Файл сохранён как 071024_012815_virus_471ee5ff8fc54.zip
Размер файла 104747
MD5 50e6e2b57eea04ecbc9bd39ebc8941f8
-
Есть подозрения на патч ndis.sys, отправил в ЛК, ждем вердикта.
I am not young enough to know everything...
-
-
Сообщение от
Bratez
Есть подозрения на патч ndis.sys, отправил в ЛК, ждем вердикта.
ответ уже был
....t=13438 [KLAB-3155904]
Вредоносный код в файле не обнаружен.
-
-
qwer.dll - Trojan-PSW.Win32.Delf.aft (свеженький по Касперскому)
Его мы удалили,больше ничего подозрительного не видно.
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Удачи!
-