Junior Member
Вес репутации
60
Trojan.Packed.140
Здраствуйте!
Заходишь в мой компьютер, нажимаешь любой локальный диск, открывается в новом окне, хотя в свойствах стоит "открывать в одном окне"
Создаются файлы autorun.inf, uxdeiect.com, usdeiect.com на дисках.
Нельзя отобразить скрытые файлы и запустить некоторые приложения.
Проверяю антивирусом (avast!4.7), базы новые, ничего не видит.
Тестировал CureIT в безопасном режиме - найдены Trojan.PWS.Wsgame.2387 (C:\uxdeiect.com), Trojan.Packed.140 (C:\WINDOWS\system32\amvo1.dll), Trojan.PWS.Wsgame.2387 (D:\uxdeiect.com), Trojan.PWS.Wsgame.2387 (G:\uxdeiect.com)
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('G:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('ASPI32');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Выполните такой скрипт:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\usdeiect.com');
DeleteFile('D:\usdeiect.com');
DeleteFile('G:\usdeiect.com');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('ASPI32');
BC_Activate;
RebootWindows(true);
end.
Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Новые логи
Вложения
Больше ничего подозрительного нет.
Рекомендуется отключить все что вам не нужно из этого:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
Junior Member
Вес репутации
60
А как отключить!?
Галочку убрать с "отключить восстановление системы на всех дисках"!?
Добавлено через 4 минуты
Скрытые файлы и папки не видны
Последний раз редактировалось Redis; 27.12.2007 в 16:20 .
Причина: Добавлено
Скажите, что не нужно, сделаем скрипт.
Галочку можно убрать.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Не нужно:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Добавлено через 2 минуты
Папки скрытые не видны.
Последний раз редактировалось Redis; 27.12.2007 в 16:35 .
Причина: Добавлено
Вот скрипт:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
Если есть локалка - первую строчку после begin уберите.
Показ скрытых должен заработать.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Спасибо!
Всё работает, скрытые файлы и папки видны!
Огромное спасибо!
Спасибо у нас не говорят, а нажимают
I am not young enough to know everything...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 18 В ходе лечения обнаружены вредоносные программы:
c:\\autorun.inf - Worm.Win32.AutoRun.bhx (DrWEB: Win32.HLLW.Autoruner.1053) c:\\windows\\system32\\amvo.exe - Trojan-GameThief.Win32.OnLineGames.mhp (DrWEB: Trojan.PWS.Wsgame.2387) c:\\windows\\system32\\amvo0.dll - Trojan-GameThief.Win32.OnLineGames.mhp (DrWEB: Trojan.PWS.Wsgame.2387) d:\\autorun.inf - Worm.Win32.AutoRun.bhx (DrWEB: Win32.HLLW.Autoruner.1053) g:\\autorun.inf - Worm.Win32.AutoRun.bhx (DrWEB: Win32.HLLW.Autoruner.1053)