-
Junior Member
- Вес репутации
- 62
Сбои в работе Internet Explorer - подозрение на вирус
При просмотре страниц в интернете IE зависает на минуту и после продолжает работать. Я обошел эту проблему, открывая сайты через Проводник. Спустя некоторое время открывая локальные папки наблюдается некоторое торможение, пока не появится содержимое папки.
Надеюсь на Вашу помощь
Последний раз редактировалось Palya; 17.03.2008 в 02:09.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('lanmandrv', 4);
StopService('lanmandrv');
QuarantineFile('C:\WINDOWS\system32\itunesff.exe','');
QuarantineFile('C:\WINDOWS\System32\ocxloader.exe','');
QuarantineFile('C:\Program Files\Dosprn\DOSprn.exe','');
QuarantineFile('C:\WINDOWS\System32\lanmandrv.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~WRF0004.tmp','');
DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
DeleteFile('C:\WINDOWS\System32\ocxloader.exe');
DeleteFile('C:\WINDOWS\system32\itunesff.exe');
DeleteService('lanmandrv');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1131-1111-1111-611111193428}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193429}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
BC_DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
BC_DeleteFile('C:\WINDOWS\System32\ocxloader.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16672
Повторите логи
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 62
Закачал
После выполнения скрипта комп перезагрузился, но завис. На экране был только значок мыши, но он двигался. Пришлось перезагрузить кнопкой
Последний раз редактировалось Palya; 17.03.2008 в 02:09.
-
1Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O4 - HKLM\..\Run: [lanmanwrk.exe] C:\WINDOWS\System32\lanmanwrk.exe
2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\lanmanwrk.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\LBeepKE.sys','');
DeleteFile('C:\WINDOWS\System32\lanmanwrk.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
BC_DeleteFile('C:\WINDOWS\System32\lanmanwrk.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16672
Повторите логи для контроля
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось Palya; 17.03.2008 в 02:09.
-
Ничего больше подозрительного не вижу....какие проблемы еще остались?
У Вас был Trojan-Spy.Win32.Banker.hnv
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 62
Надеюсь, что здесь больше никаких, спасибо!
Добавлено через 6 минут
Что надо сделать, чтобы завершить процесс? (Карантин, логи)
Последний раз редактировалось Palya; 20.01.2008 в 16:42.
Причина: Добавлено
-
Что из этого не нужно?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
-
-
Junior Member
- Вес репутации
- 62
Завершение
Что из этого не нужно?
>> Службы: RemoteRegistry (Удаленный реестр) Не знаю что такое
>> Службы: ermService (Службы терминалов) Не знаю что такое
>> Службы: SSDPSRV (Служба обнаружения SSDP) Не знаю что такое
>> Службы: Schedule (Планировщик заданий) Я ничего не планирую
>> Службы: mnmsrvc (NetMeeting Remote Desktop Sharing) Я не использую
>> Службы: RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) Я не использую
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
-
Junior Member
- Вес репутации
- 62
-
Мы не забыли, просто Вы как-то не совсем определились, что нужно отключить, что оставить.
-
Junior Member
- Вес репутации
- 62
Я ответил, просто в большинстве случаев я не знаю что это такое. Как можно проверить что делает та или иная служба?
-
лучше так ...
компьютер рабочий \домашний ?
локальная сеть есть \ нет ?
-
-
Junior Member
- Вес репутации
- 62
Компьютер рабочий в составе локальной сети
-
тогда все нужно согласовывать с вашим местным сисадмином ...
-
-
Junior Member
- Вес репутации
- 62
Я за него. Сеточка маленькая - всего 3 машины. Используется в основном для общего доступа в интернет и обмена файлами. Никаких сетевых программ не стоит.
-
тогда выполните скрипт ...
Код:
begin
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 62
AUTORUN.FCB;C:\;VBS.Igidak;Удален.;GameSetup.exe;C:\Documents and Settings\All Users\Документы;Win32.HLLP.Whboy;Исцелен.;GameSetup.exe;C:\Documents and Settings\All Users\Документы;Win32.HLLP.Whboy;Неизлечим.;qmgndnon.exe;C:\WINDOWS\system32;Trojan.DownLoader .33221;Удален.;qmhnkhea.exe;C:\WINDOWS\system32;Trojan.DownLoader .33221;Удален.;qmjckjmb.exe;C:\WINDOWS\system32;Trojan.DownLoader .33221;Удален.;qmjomogh.exe;C:\WINDOWS\system32;Trojan.DownLoader .33221;Удален.;qmmknpdk.exe;C:\WINDOWS\system32;Trojan.DownLoader .33221;Удален.;qmobcfmc.exe;C:\WINDOWS\system32;Trojan.DownLoader .33221;Удален.;Restart.exe;C:\WINDOWS\system32\Tools;Tool.Destart ;;
Вот что мне выдал DWeb после проверки
Добавлено через 47 секунд
Не ожидал такого показа
Последний раз редактировалось Palya; 25.01.2008 в 00:32.
Причина: Добавлено
-
Полная проверка была? Глядя на Igidak и Whboy, я бы для надёжности повторил. Ползучая гадость.
-
-
Junior Member
- Вес репутации
- 62
Полная, повторю. Но что сделать с ToolRestart и GameSetup?