Junior Member
Вес репутации
61
Невозможно удалить файлы из-за действия вируса
Через флешку занесли вирус троян в компьютер.
Используя Regedit.exe вычистили зараженный каталог с файлами JambanMuV2.
Вирус посадил в запускаемые процессы два файла Flash.10.exe macromedia.10.exe.
Путем поиска в Regedite данные файлы не находятся. Drweb эти файлы как вирус не определяет,
однако хотелось бы от них избавиться,т.к при включении данного компьютера файл flash.10.exe,
находящийся в system32 сразу же цепляется на сетевой диск.
Вложения
Последний раз редактировалось Shu_b; 25.01.2008 в 22:08 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уберите файл virusinfo_cure.zip и загрузите его здесь:
http://virusinfo.info/upload_virus.php?tid=16968
Логи сейчас гляну.
Добавлено через 5 минут
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\DAO\MSN.msn','');
QuarantineFile('C:\WINDOWS\system32\Flash.10.exe','');
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Macromedia.10.exe','');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Macromedia.10.exe');
DeleteFile('C:\WINDOWS\system32\Flash.10.exe');
DeleteFile('C:\WINDOWS\system32\cmd.com');
DeleteFile('C:\WINDOWS\system32\dxdiag.com');
DeleteFile('C:\WINDOWS\system32\JambanMu.com');
DeleteFile('C:\WINDOWS\system32\msconfig.com');
DeleteFile('C:\WINDOWS\system32\ping.com');
DeleteFile('C:\WINDOWS\system32\regedit.com');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=16968 ).
Обновите базы AVZ и сделайте новые логи.
Последний раз редактировалось Bratez; 25.01.2008 в 11:46 .
Причина: Добавлено
I am not young enough to know everything...
Junior Member
Вес репутации
61
Высылаю новые логи полученые после всех мероприятий, описанных выше
Вложения
C:\WINDOWS\system32\cmd.com, C:\WINDOWS\system32\dxdiag.com, C:\WINDOWS\system32\JambanMu.com, C:\WINDOWS\system32\msconfig.com, C:\WINDOWS\system32\ping.com, C:\WINDOWS\system32\regedit.com, C:\Program Files\Common Files\Microsoft Shared\DAO\MSN.msn, C:\WINDOWS\system32\Flash.10.exe, C:\Program Files\Common Files\Microsoft Shared\Macromedia.10.exe все Trojan.Win32.VB.ayo
по поводу C:\WINDOWS\system32\spool\drivers\WIN40\0\brrbtool .exe - вирлаб ответил, что чистый.
Выполните в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\flash.10.exe');
DeleteFile('c:\windows\system32\flash.10.exe');
DeleteFile('C:\WINDOWS\system32\cmd.com');
DeleteFile('C:\WINDOWS\system32\dxdiag.com');
DeleteFile('C:\WINDOWS\system32\JambanMu.com');
DeleteFile('C:\WINDOWS\system32\msconfig.com');
DeleteFile('C:\WINDOWS\system32\ping.com');
DeleteFile('C:\WINDOWS\system32\regedit.com');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Macromedia.10.exe');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\DAO\MSN.msn');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи, а лог Хиджака где? Обновите базы АВЗ Файл--обновление баз, а то базы от 12.12.2007 10:43 , сегодня как-то не актуальны.
Junior Member
Вес репутации
61
Выполнила скрипт и повторила лог, обновив базы. Файлы прилагаю
Вложения
Последний раз редактировалось Shu_b; 25.01.2008 в 22:04 .
у вас нет прав администратора .... все бесполезно нужно зайти под админом ..
Ну не то чтобы совсем бесполезно... Скрипт сделал свое дело, только логи ущербные получились. Отключите восстановление системы и ы выполните еще такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Macromedia.10.bak');
DeleteFile('C:\WINDOWS\system32\flash.10.bak');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
а затем сделайте все три лога по правилам.
Все это, разумеется, делать с правами администратора.
I am not young enough to know everything...
Junior Member
Вес репутации
61
Провела полученные мероприятия под администратором.
Праттачиваю лог. В процессах злополученные файлы не обнаружены. Интересно всех ли зверьков прикончили?
Вложения
На этот раз чисто. Хотя лог HijackThis тоже бы не помешал.
Посмотрите, что из этого вам нужно:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Лишнее отключим.
I am not young enough to know everything...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 23 В ходе лечения обнаружены вредоносные программы:
c:\\program files\\common files\\microsoft shared\\dao\\msn.msn - Trojan.Win32.VB.ayo (DrWEB: Win32.HLLW.Autoruner.197) c:\\program files\\common files\\microsoft shared\\macromedia.10.exe - Trojan.Win32.VB.ayo (DrWEB: Win32.HLLW.Autoruner.197) c:\\windows\\system32\\cmd.com - Trojan.Win32.VB.ayo (DrWEB: Win32.HLLW.Autoruner.197) c:\\windows\\system32\\dxdiag.com - Trojan.Win32.VB.ayo (DrWEB: Win32.HLLW.Autoruner.197) c:\\windows\\system32\\flash.10.exe - Trojan.Win32.VB.ayo (DrWEB: Win32.HLLW.Autoruner.197) c:\\windows\\system32\\jambanmu.com - Trojan.Win32.VB.ayo (DrWEB: Win32.HLLW.Autoruner.197) c:\\windows\\system32\\msconfig.com - Trojan.Win32.VB.ayo (DrWEB: Win32.HLLW.Autoruner.197) c:\\windows\\system32\\ping.com - Trojan.Win32.VB.ayo (DrWEB: Win32.HLLW.Autoruner.197) c:\\windows\\system32\\regedit.com - Trojan.Win32.VB.ayo (DrWEB: Win32.HLLW.Autoruner.197)