Купил КИС, он в ходе полной проверки обнаружил троян pcClient.wi, вроде удалил. На всякий случай решил проконсультироваться со специалистами, может осталась какая-нибудь дрянь.. заранее спасибо!
Купил КИС, он в ходе полной проверки обнаружил троян pcClient.wi, вроде удалил. На всякий случай решил проконсультироваться со специалистами, может осталась какая-нибудь дрянь.. заранее спасибо!
Последний раз редактировалось osvald; 26.01.2008 в 00:46.
1.что то я не уверен что кис купили , в логах обычый кав может кто коробки поменял ;-)
2.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.Прислать карантин согласно приложения 3 правил .Код:begin QuarantineFile('C:\Program Files\AdVantage\AdVantage.exe',''); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12487
3.зайти в панель управления, установка /удаление программ- если что найдёться со словом advantage- скажите
4.убедитесь что делали точно по инструкции : http://virusinfo.info/showthread.php?t=12112
5.Продложение V_Bond уже указал
Последний раз редактировалось drongo; 06.12.2007 в 12:02.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
пофиксите ...
выполните скрипт...Код:O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O20 - Winlogon Notify: winjmf32 - winjmf32.dll (file missing)
пришлите карантин согласно приложения 3 правил ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Pointdev\IDEAL Administration\IACtrl.exe',''); QuarantineFile('winjmf32.dll',''); QuarantineFile('C:\trafinspag.exe',''); QuarantineFile('\SystemRoot\system32\DRIVERS\XPVCOM.sys',''); DeleteFile('winjmf32.dll'); BC_Importall; ExecuteSysClean; RebootWindows(true); end.
Пардон, вы совершенно правы, КАВ а не КИС ^.^ Ну как всегда бывает, хочешь КИС а денег хватает тока на КАВ Карантин выслал как нам свыше правилами предписано
Насчет adVantage, эта штука зачем-то прилеплена к последним демон тулзам была, вроде сидит себе в трее тихо и кушать не просит... Ну еще есть у меня анализатор логов апача "Advantage Web Log analiser". КАВ настроен (и делал полное сканирование) согласно инструкции
Последний раз редактировалось osvald; 06.12.2007 в 12:13.
C:\Program Files\Pointdev\IDEAL Administration\IACtrl.exe ,C:\trafinspag.exe ,C:\WINDOWS\system32\DRIVERS\XPVCOM.sys чистые
C:\Program Files\AdVantage\AdVantage.exe -Adware:Win32/Advantage .... можем убить ...
или это сделает ваш антивирус после очередного обновления
Убить!!! растерЗать!!! надо) а C:\trafinspag.exe это вобщем-то клиент для Траффик-Инспектора, через него интернет раздается у нас
ну откуда мы єто можем знать ... (лучше проверить) ...C:\trafinspag.exe это вобщем-то клиент для Траффик-Инспектора, через него интернет раздается у нас
растерзЫваем ....
выпоните скрипт ....
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\Program Files\AdVantage\AdVantage.exe'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Спасибо, скрипт выполнил наверно теперь все чисто
можно повторите логи.... для контроля ...
в процессе...скоро выложу
Извините за задержку, вчера пришлось срочно уехать... Прикладываю логи
Последний раз редактировалось osvald; 26.01.2008 в 00:46.
актитвных зловредов не вижу ...
если все из этого вам знакомо .... то не стоит беспокоится ....Код:C:\Program Files\Transcender\BACKUP\AutoProf.exe >>> подозрение на Trojan-Clicker.Win32.VB.on ( 0044E440 0029FAE2 0012E961 001E47C6 24576) Файл успешно помещен в карантин (C:\Program Files\Transcender\BACKUP\AutoProf.exe) C:\Program Files\Transcender\BACKUP\cleanup.exe >>> подозрение на Trojan.Win32.Dopen.b ( 004199AC 002C0845 0019462D 00000000 16384) Файл успешно помещен в карантин (C:\Program Files\Transcender\BACKUP\cleanup.exe) C:\Program Files\Transcender\BACKUP\FileCleanup.exe >>> подозрение на AdvWare.Win32.CashDeluxe.g ( 00433EE8 002E237F 00009EA0 00000000 20480) Файл успешно помещен в карантин (C:\Program Files\Transcender\BACKUP\FileCleanup.exe) C:\Program Files\Transcender\BACKUP\MasterUpdater.exe >>> подозрение на Trojan-Downloader.Win32.Adload.l ( 003D56DA 0034D2D5 0013F7D6 00239755 24576) Файл успешно помещен в карантин (C:\Program Files\Transcender\BACKUP\MasterUpdater.exe) C:\Program Files\Transcender\BACKUP\TPM.exe >>> подозрение на Trojan-Clicker.Win32.VB.sc ( 0047BBAA 002C0845 001790EB 000B4CD6 36864) Файл успешно помещен в карантин (C:\Program Files\Transcender\BACKUP\TPM.exe)
что из этого используется ....
Код:>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
Transcender это тесты... не должно быть там ничего опасного вроде.
Из служб вроде все нужные, это рабочая станция в лвс организации
Уважаемый(ая) osvald, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.