Вирус Beep.sys, mustafx.exe ...
Было несколько вирусов, в том числе те, которые характеризуются наличием файлов Beep.sys, mustafx.exe, kurva.dat и т.д. Файлы побил, но AVZ все равно находит кей-руты. Причем после каждой перезагрузки имя перехватчика меняется. Обычно оно имеет следующий вид sp??.sys Помогите добить гада.
Последний раз редактировалось Dexer; 19.01.2010 в 08:29.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Вашего руткита зовут DAEMON ToolsВ логах всё нормально. Что из этого нужно?
Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
Большое Спасибо!
Косил я взглядом в его сторону, но не думал, что он так маскироваться будет.
Непонятно зачем?
А из потенциально опасных только автозапуск CD нужен.
Вот скрипт для отключения ненужного:
* Если есть локалка с общим доступом к файлам и принтерам, уберите первую строчку после begin.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
I am not young enough to know everything...
на всякий случай вот эти найти ,скопировать и прислать :
C:\WINDOWS\system32\HOLIDA~1.SCR
C:\WINDOWS\system32\drivers\Beep.sys
C:\WINDOWS\system32\drivers\spyh.sys
C:\WINDOWS\system32\dllcache\fuurod.sys
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
трех файлов уже нет (spyh.sys каждый раз меняет название, beep.sys я уже удалил, fuurod.sys или подобный, который не давал запустить AVZ стал, похоже, жертвой самого AVZ, т.к. после первого же прохода AVZ стал запускаться без проблем). А HOLIDA~1.SCR был намеренно установлен. Спасибо за участие.
Уважаемый(ая) Dexer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
