Junior Member
Вес репутации
60
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelWinlogonNotifyByFileName('arm32.dll');
DelCLSID('D7FFD784-5276-42D1-887B-00267870A4C7');
QuarantineFile('C:\WINDOWS\explorer.exe:httpcomm:$DATA','');
QuarantineFile('c:\windows\explorer.exe:mian.nest:$DATA','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('c:\windows\explorer.exe:log.dump:$DATA','');
QuarantineFile('C:\ntldr.sys','');
DeleteFile('C:\windows\explorer.exe:mian.nest');
DeleteFile('C:\windows\explorer.exe:httpcomm');
DeleteFile('c:\windows\explorer.exe:log.dump');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\ntldr.sys');
DeleteFile('c:\windows\explorer.exe:log.dump:$DATA');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
DeleteFile('c:\windows\explorer.exe:mian.nest:$DATA');
DeleteFile('C:\WINDOWS\explorer.exe:httpcomm:$DATA');
BC_ImportAll;
BC_DeleteFile('c:\windows\explorer.exe:httpcomm:$DATA');
BC_DeleteFile('c:\windows\explorer.exe:mian.nest:$DATA');
BC_DeleteFile('c:\windows\explorer.exe:log.dump:$DATA');
BC_DeleteSvc('ntldr.sys');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=15480
2. Повторите логи
Junior Member
Вес репутации
60
Высылаю логи. Карантин уже отослал. Подскажите, если не тайна то, что у меня было - это известное что-то ?
Вложения
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('C:\windows\system32\SOUNDMAN.EXE','');
QuarantineFile('C:\Program Files\MalwareAlarm\MalwareAlarm.exe','');
DeleteFile('C:\Program Files\MalwareAlarm\MalwareAlarm.exe');
DeleteFile('C:\windows\system32\SOUNDMAN.EXE');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Загрузите карантин по этой ссылке. Повторите логи.
Добавлено через 4 минуты
Сообщение от
Вадим59virus
Подскажите, если не тайна то, что у меня было - это известное что-то ?
Новое вирье. Пока ни кем не детектится.
Последний раз редактировалось Макcим; 20.12.2007 в 01:55 .
Причина: Добавлено
Junior Member
Вес репутации
60
Карантин новый отправил. После выполнения скрипта комп стал задумываться. Загружается медленнее. Работал отлично после первого скрипта. Сейчас немного медленнее. Буду ждать результатов.
Вложения
Больше ничего подозрительного нет.
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\777\Application Data\Mra\Update\mrasearch.dll (file missing)
O20 - Winlogon Notify: arm32reg - C:\windows\
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - (no file)
Посмотрите, нужно ли вам что-то из этого:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Лишнее отключим.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Да, отключайте. Эти все удаленные разрешения. Спасибо вам. Все работает.
Вот скрипт для отключения ненужного:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
(оставил автозапуск CD).
I am not young enough to know everything...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 20 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\explorer.exe:httpcomm:$data - Backdoor.Win32.Agent.djj (DrWEB: BackDoor.PcClient) c:\\windows\\explorer.exe:mian.nest:$data - Backdoor.Win32.Delf.cqt (DrWEB: BackDoor.PcClient) c:\\windows\\system32\\soundman.exe - Trojan-Downloader.Win32.Injecter.qw (DrWEB: Trojan.DownLoader.45536)