Вирусы (постоянный угон icq)

[LamBerT]

Недавно столкнулся с угоном icq горьким опытом... и стало это происходить с переодичной системностью... помогите пож-та.

Логи:
1.Вложение 23151

2.Вложение 23152

3.Вложение 23153

[V_Bond]

выполните скрипт...

Код:

begin
 BC_QrSvc('msupdate');
 BC_DeleteSvc('msupdate');
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил...
повторите логи...

[LamBerT]

Скрипт выполнил.
Карантин отправил.
071120_121740_virus_474324c4a806c.zip

Логи.
Вложение 23173

Вложение 23174

[V_Bond]

сделайте лог http://virusinfo.info/showthread.php?t=10387

[LamBerT]

Сделал.
Вложение 23175

[V_Bond]

больше ничего не могу высмотреть в логах ...
похоже чисто...

[LamBerT]

Благодарю... будем надеятся... тема будет актуальной если случиться что-то в течении 1-2 дней?

[rubin]

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Что не нужно?

Добавлено через 31 секунду

Актуальной конечно будет, обращайтесь

[LamBerT]

Только что вскрыли еще раз, что делать? видимо что-то осталось...

[V_Bond]

что вы понимаете под "вскрыли" ...

[LamBerT]

Через сервес icq сделал новый пароль... зашел все работает... выскакивает надпись, что номер используеться на др. компьютере... пара секунд и при попытке входа неверный номер/пароль - зайти уже, естественно, невозможно.

[rubin]

Попробуйте сменить пароль от своего почтового ящика - как я помню именно на него высылается пароль от icq

[LamBerT]

Перед тем как сменить пароль от icq я сменил от ящика к которому привязан мой номер... могу повторить операцию но почему-то кажеться итог будет тем же... секундочку

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
BC_QrSvc('Acqr67');
BC_DeleteSvc('Acqr67');
BC_Activate;
RebootWindows(true);
end.

Если что-то попадет в карантин - пришлите по правилам.
Повторите последний лог.

[LamBerT]

Скрипт выполнил.
Логи:

Вложение 23256

Вложение 23257

Вложение 23258

[Bratez]

Карантин, я так понимаю, пуст?
В логах ничего подозрительного не видно.
Сделайте еще на всякий случай этот:
http://virusinfo.info/showthread.php?t=10387

[LamBerT]

Да карантин пуст.
Вложение 23265

[Bratez]

Абсолютно не к чему больше придраться.
По идее проблем больше быть не должно.

[V_Bond]

подумайте ... откуда вы можете брать єто чудо .... его у вас второй раз лечим...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены