Infostealer

**ghostil** · 31.10.2007, 11:36

Здравствуйте!SAV определяет Infostealer. Посмотрите, пожалуйста, логи!

Temporary удалить не могу!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 31.10.2007, 12:03

Посмотрим на эти файлики:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.inf','');
 QuarantineFile('G:\WINDOWS\system32\secpol.exe','');
RebootWindows(true);
end.

Пришли карантин.

Что за autorun.inf на всех дисках? На какой файл ругается SAV? Посмотри в логах

**ghostil** · 31.10.2007, 13:22

карантин закачал
а файл находится на G:\winwows\system32

Добавлено через 22 минуты

а вот по поводу autorun.inf я даже и не знаю, что сказать, сам не понимаю, как он там оказался

Добавлено через 33 минуты

что можете сказать, профессионалы? компьютер сильно болен?:-)

Добавлено через 3 минуты

ой, описка вышла
я имел в виду G:\windows\...

**Bratez** · 31.10.2007, 13:39

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
QuarantineFile('C:\setup.exe','');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\setup.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\setup.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\setup.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\setup.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\setup.exe');
DeleteFile('G:\WINDOWS\system32\secpol.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пофиксите в HijckThis:

Код:

F2 - REG:system.ini: UserInit=G:\WINDOWS\system32\userinit.exe,G:\WINDOWS\system32\secpol.exe,

Добавлено через 54 секунды

Карантин пришлите по правилам.
Сделайте новые логи.

**PavelA** · 31.10.2007, 13:55

G:\WINDOWS\system32\secpol.exe - W32.SillyFDC (Симантек)

**ghostil** · 06.11.2007, 11:26

Карантин закачал, сейчас делаю новые логи!:-)

**ghostil** · 06.11.2007, 12:01

Вот свежие логи, с пылу, с жару, так сказать!:-)

**Bratez** · 06.11.2007, 12:06

В логах чисто.
Для профилактики рекомендуется отключить все ненужное из этого списка:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX

**ghostil** · 06.11.2007, 12:11

спасибо большое, сейчас отключу всё, что не нужно!

**rubin** · 06.11.2007, 12:23

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

Добавлено через 31 секунду

PS: С отключением служб можем помочь

Скажите, что Вам не нужно

Infostealer (заявка № 13709)

Опции темы

Infostealer

Похожие темы

Infostealer

infostealer

Infostealer

InfoStealer

Infostealer

Ваши права в разделе