Junior Member
Вес репутации
59
amvo
Доброй ночи. Появилась проблема: при попытке открыть диск из проводника открывается новое окно. При дальнейшем рассмотрении стало ясно, что нет возможности просматривать скрытые файлы и папки: по закрытии окна свойств папки галочка просто возвращается на пункт "не отображать скрытые файлы и папки". В автозагрузке появился процесс "amvo.exe", при попытке снять его из автозагрузки он дублируется.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
59
забыл добавить: при попытке просканить symantec antivirus завешивается, переустановка антивируса не помогла
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\3wcxx91.cmd','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\3wcxx91.cmd');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\3wcxx91.cmd');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=18072 ).
Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
59
Файл карантина закачал.
Вот новые логи
Вложения
А базы антивируса обновляются? Неделю назад у меня Симантек запросто справлялся с этими гадами.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Больше ничего плохого в логах не видно.
Для устранения возможных последствий выполните скрипт в AVZ:
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Рекомендуется отключить все что вам не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Если играете в онлайн-игры, то надо менять пароли.
Вот что было:
3wcxx91.cmd1,
autorun.inf1 - Trojan-PSW.Win32.OnLineGames.rem,
amvo0.dll - Trojan-PSW.Win32.OnLineGames.rel
Второй причем свежий.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
59
Всем большое спасибо за помощь, видимых причин для беспокойства нет.
З.Ы. В онлайн-игры не играю, из сети ничего не выкачиваю, поскольку доступ через GPRS канал.
З.З.Ы. потенциально опасные службы отключаются из msconfig или какими-то иными способами? Они тоже находятся в автозагрузке?
Сообщение от
AndRoom
потенциально опасные службы отключаются из msconfig или какими-то иными способами?
Просто скажите, что нужно что нет, напишем скрипт.
I am not young enough to know everything...
Junior Member
Вес репутации
59
Сообщение от
Bratez
Просто скажите, что нужно что нет, напишем скрипт.
Службы не нужны никакие, из параметров безопасности следует оставить только административный доступ к дискам
Сообщение от
AndRoom
из параметров безопасности следует оставить только административный доступ к дискам
вы администрируете свой компьютер через сети ?
Junior Member
Вес репутации
59
Сообщение от
V_Bond
вы администрируете свой компьютер через сети ?
Нет, если здесь подразумевается удаленное администрирование, тогда и в этом параметре нет необходимости
для домашнего компьютера без локальной сети ... выполните скрипт ..
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
Junior Member
Вес репутации
59
Скрипт выполнил. Еще какие-то действия необходимы?
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов . Мы будем Вам очень благодарны!
Удачи!
Junior Member
Вес репутации
59
Чтож, тогда всем огромное спасибо за помощь! Удачи и вам в вашем деле!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 36 В ходе лечения обнаружены вредоносные программы:
c:\\autorun.inf - Trojan-GameThief.Win32.OnLineGames.rem (DrWEB: Win32.HLLW.Autoruner.1294) c:\\windows\\system32\\amvo.exe - Trojan-GameThief.Win32.OnLineGames.rem (DrWEB: Trojan.MulDrop.6474) c:\\windows\\system32\\amvo0.dll - Trojan-GameThief.Win32.OnLineGames.rel (DrWEB: Trojan.PWS.Wsgame.2387) c:\\3wcxx91.cmd - Trojan-GameThief.Win32.OnLineGames.rem (DrWEB: Trojan.MulDrop.6474) d:\\autorun.inf - Trojan-GameThief.Win32.OnLineGames.rem (DrWEB: Win32.HLLW.Autoruner.1294) d:\\3wcxx91.cmd - Trojan-GameThief.Win32.OnLineGames.rem (DrWEB: Trojan.MulDrop.6474)