В четверг супруга неудачно сходила в инет. В результате Каспер (KIS7) стал постоянно кричать о вирусах. Всего было несколько, но чаще всего Trojan.Win32.KillAV.nj, Trojan.Win32.KillAV.ne и Trojan-PSW.Win32.agent.wg (все названия от КИСа).
Каспер их вроде как удалял, но безуспешно. В пятницу почитал этот форум, скачал CureIt - почти помогло. ВЫлечила под 200 сотни файлов. Остался только Trojan-PSW.Win32.agent.wg. Решил не заморачиваться (зря) и подождать, что КИС его убьет после очередного обновления. Сегодня опять зоопарк. Добавились SpamTool.Agent32.ej, Trojan.Win32.VB.bkr, Trojan-PSW.Win32.agent.wa, плюс все старые уже якобы удаленные.
Сделал логи, но напортачил с первым логом от AVZ - делал его при включенном KIS и отключенном браузере. А времени переделывать нет - завтра вставать рано. Плюс опять же в первом логе, видимо, более инфа по тем вирусам, что AVZ уже нашел и изолировал.
Последний раз редактировалось Oleg72; 14.01.2008 в 23:34.
Причина: не прикрепил файлы с логами
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Можно констатировать (исходя из приведённых названий зловредов), что пароли у Вас уже могли "увести".
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true,true);
QuarantineFile('C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB61}\ICON_SetupPPC.exe','');
QuarantineFile('C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB61}\ICON_LingvoInst.exe','');
QuarantineFile('C:\WINDOWS\Installer\68c780.msi','');
DeleteFile('C:\Documents and Settings\Administrator\admin.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
Последний раз редактировалось Kuzz; 14.01.2008 в 23:58.
Причина: Добавлено
До или после выполнения скрипта нужно выполнить обычные "танцы"? С лечением Cure-IT и пр.?
И еще вопрос. Не дадите рекомендаций по затыканию дыр - АВЗ в отчете перечислил ряд уязвимостей. А то я в этом деле лох.
Добавлено через 7 минут
Вспомнил! После поста минут через 5-10 выслал карантин. Вроде все перечисленные файлы в нем были.
Последний раз редактировалось Oleg72; 15.01.2008 в 10:07.
Причина: Добавлено
Уязвимости постараюсь позакрывать. Удаленные помощники мне не нужны. Как впрочем и любые другие . Только это займет некоторое время.
Жену переведу на Оперу или Мозиллу.
Так все таки лечение до или после скрипта проводить нужно?
ВЫполнил скрипт. Архив с карантином только что выслал:
Файл сохранён как080115_125759_virus_478d0237aea76.zipРазмер файла1715500MD5cb9770d8c0cae24c7e9852f3c49582b1
Потом провел проверку CureIT - ничего не нашла. После нее логи - вот они.
После перезагрузки в "Службах" все эти функции остались отключенными:
RemoteRegistry (Remote Registry)
TermService (Terminal Services)
SSDPSRV (SSDP Discovery Service)
Schedule (Task Scheduler)
mnmsrvc (NetMeeting Remote Desktop Sharing)
RDSessMgr (Remote Desktop Help Session
Все равно запустить предложенный скрипт?
Последний раз редактировалось Oleg72; 15.01.2008 в 22:55.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: