При каждом клике мышью выскакивает сообщение о зараженном комп. и в случае "ОК" перемещает на страницу с программой sanitardiska
При каждом клике мышью выскакивает сообщение о зараженном комп. и в случае "ОК" перемещает на страницу с программой sanitardiska
Отключите восстановление системы
1.В avz выполнить скрипт:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\xcodec.dll',''); BC_ImportALL; BC_Activate; RebootWindows(true); end.
2.Пофиксить в HiJackThis
3.Выслать карантин по этой ссылкеКод:O2 - BHO: (no name) - {29F340EA-2108-40d0-94A0-62EC2B9EDF59} - (no file)
не помогло?!
файл с карантина отправил.
Отключите восстановление системы!!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\xcodec.dll'); BC_DeleteFile('C:\WINDOWS\system32\xcodec.dll'); DelBHO('{ED2F0D39-992F-4330-A26C-42818DC66C43}'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи, начиная с п.10 правил.
Добавлено через 1 минуту
P.S. Свежачок поймали! Пока только эвристиками детектируется. Отправил в ЛК.
Последний раз редактировалось Bratez; 27.01.2008 в 17:28. Причина: Добавлено
I am not young enough to know everything...
Кажется помогло, окно больше не появляется...
В логах чисто.
Для профилактики можно отключить все что вам не нужно из этого:
Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
А скрипт на отключение всего "этого" можно получить? ;-)
Лехко :
* Если есть локалка с общим доступом к файлам и принтерам, уберите первую строчку после begin.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
I am not young enough to know everything...
Лови еще "благодарность" Для хороших людей не жалко!
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\xcodec.dll - Hoax.Win32.PornCodec.a (DrWEB: Trojan.Fakealert.413)
Уважаемый(ая) tria_com, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.