-
Junior Member
- Вес репутации
- 63
Virus/Malware Name: Possible_Otorun1 (по версии Trend-Micro)
Добрый день, уважаемые!
Начал подозревать о действии вируса на компьютере, когда стремительно стали уходить деньги за интернет. Работа установленным на компьютер антивирусом (trend-micro), к сожалению ничего не дала. Обнаружение вирусного файла (Virus/Malware Name: Possible_Otorun1) и помещение его в карантин, а после перезагрузки - проблема возникала снова. С определенным постоянством вирус проявлялся вновь. И даже подключение к интернету не мешало ему проявляться, а антивирусной программе его обнаруживать и сигнализировать.
Прошу помощи, чтобы избавиться от него.
Последний раз редактировалось Andryxa; 15.03.2008 в 09:11.
С уважением,
Андрей.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключитесь от интернета и выключите антивирус
1.В avz выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
BC_DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
BC_DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
BC_DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
BC_DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_DeleteFile('D:\autorun.inf');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
2.Пофиксить в HiJackThis (Если будет)
Код:
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
3.Выслать карантин согласно приложению 3 правил
-
-
Junior Member
- Вес репутации
- 63
Неоднократные проверки показали - вирус удалён
Здравствуйте,
Анализ лог-файлов после прогонки предоставленного вами скрипта показал - проявления вируса не обнаруживается. Директории (инфекционные и карантинные файлы) не создаются - так что, высылать для дальнейшего анализа нечего.
Спасибо за оперативную помощь.
-
Сообщение от
Andryxa
Анализ лог-файлов после прогонки предоставленного вами скрипта показал - проявления вируса не обнаруживается. Директории (инфекционные и карантинные файлы) не создаются - так что, высылать для дальнейшего анализа нечего.
Не в обиду сказано, но такую оценку лучше оставить экспертам, конечно. Надеюсь, что вы обратили внимание на некоторые уязвимости в вашей системе:
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Во избежание повтора имеет смысл подумать об исправлении...
Paul
-
Junior Member
- Вес репутации
- 63
Спасибо, что обратили внимание на уязвимости системы. Отключил ряд служб, обозначенных в списке.
Спасибо за время, потраченное на решение проблемы.
-
Директории (инфекционные и карантинные файлы) не создаются - так что, высылать для дальнейшего анализа нечего.
Это нужно не только для вас, а еще для того, чтобы добавить в базы не детектируемых зловредов.
-