Пришла от подруги ссылка на открытку, кликнул и понеслась...
Теперь с моей аси наверное тоже ссылки идут всем контактам.
Симантек ловит постоянно w32.stration.CM@mm в разных файлах.
Логи прилагаю согласно правилам.
Заранее спасибо.
Пришла от подруги ссылка на открытку, кликнул и понеслась...
Теперь с моей аси наверное тоже ссылки идут всем контактам.
Симантек ловит постоянно w32.stration.CM@mm в разных файлах.
Логи прилагаю согласно правилам.
Заранее спасибо.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys',''); QuarantineFile('C:\lich.sys',''); QuarantineFile('C:\WINDOWS\System32\fpwprich.exe',''); QuarantineFile('C:\WINDOWS\system32\fpwprich.dll',''); QuarantineFile('C:\WINDOWS\system32\lich.exe',''); DeleteFile('C:\lich.sys'); DeleteFile('C:\WINDOWS\system32\lich.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
I am not young enough to know everything...
Сорри, что запостил сюда. Отправил как положено только без пароля...в правилах не написано, а потом уже поздно было) Переслать?
Уберите карантин из сообщения.
Добавлено через 2 минуты
Выполните скрипт в AVZ:
Сделайте новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\fpwprich.dll'); DeleteFile('C:\WINDOWS\System32\fpwprich.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Добавлено через 1 минуту
Это был Email-Worm.Win32.Warezov aka Stration.
Последний раз редактировалось Bratez; 09.12.2007 в 19:14. Причина: Добавлено
I am not young enough to know everything...
Новые логи.
Симантек вырубил перед логами, но все равно служба проверки чего то находит..
Наверное глагол "был" еще рано употреблять
пофиксите ...
віполните скрипт ....Код:O20 - AppInit_DLLs: e1.dll kbdgmqqm.dll efjtx0jc.dll O20 - Winlogon Notify: fpwprich - C:\WINDOWS\ O20 - Winlogon Notify: vdmdracp - C:\WINDOWS\system32\vdmdracp.dll
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\vdmdracp.dll',''); QuarantineFile('C:\WINDOWS\system32\efjtx0jc.dll',''); QuarantineFile('C:\WINDOWS\System32\vdmdracp.exe',''); QuarantineFile('C:\WINDOWS\System32\efjtx0jc.dll',''); DeleteFile('C:\WINDOWS\system32\i2ie4m4w1m.exe'); DeleteFile('C:\WINDOWS\System32\efjtx0jc.dll'); DeleteFile('C:\WINDOWS\System32\vdmdracp.exe'); DeleteFile('C:\WINDOWS\system32\efjtx0jc.dll'); DeleteFile('C:\WINDOWS\system32\vdmdracp.dll'); BC_DeleteSvc('ZZZsvc_lich'); BC_DeleteSvc('lich'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи....
пофиксил последние две строки. Первой ненаблюдалось.
новые логи прилагаю.
карантин выслал.
Восстановление системы: включено -отключить ....
выполните скрипт ....Код:O20 - AppInit_DLLs: e1.dll efjtx0jc.dll O20 - Winlogon Notify: vdmdracp - C:\WINDOWS\
пришлите карантин согласно приложения 3 правил...Код:begin QuarantineFile('efjtx0jc.dll',''); QuarantineFile('e1.dll',''); DeleteFile('e1.dll'); DeleteFile('efjtx0jc.dll'); ExecuteSysClean; RebootWindows(true); end.
повторите логи ...
Восстановление отключил.
Новые логи.
Крантин выслал.
Какие проблемы остались?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Что из этого не нужно?
да вроде все в норме.
Спасиба огромное.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 43
- В ходе лечения обнаружены вредоносные программы:
- c:\\system volume information\\_restore{12ea87b9-23d6-40df-a452-dbdd3cc6db08}\\rp44\\a0016417.exe - Email-Worm.Win32.Warezov.vo (DrWEB: Win32.HLLM.Limar)
- c:\\windows\\system32\\efjtx0jc.dll - Email-Worm.Win32.Warezov.vn (DrWEB: Win32.HLLM.Limar)
- c:\\windows\\system32\\fpwprich.dll - Email-Worm.Win32.Warezov.vb (DrWEB: Win32.HLLM.Limar)
- c:\\windows\\system32\\fpwprich.exe - Email-Worm.Win32.Warezov.vc (DrWEB: Win32.HLLM.Limar)
- c:\\windows\\system32\\i2ie4m4w1m.exe - Email-Worm.Win32.Warezov.vo (DrWEB: Win32.HLLM.Limar)
- c:\\windows\\system32\\vdmdracp.dll - Email-Worm.Win32.Warezov.vp (DrWEB: Win32.HLLM.Limar)
- c:\\windows\\system32\\vdmdracp.exe - Email-Worm.Win32.Warezov.adc (DrWEB: Win32.HLLM.Limar.2236)
Уважаемый(ая) mitrandir_nd, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.