-
Junior Member
- Вес репутации
- 59
AVG 7.5 выдаёт сообщение о наличии вируса
Привет.
При загрузке оси (Win XP SP2) Avg free выдаёт сообщение что найден вирус (Trojan horse Downloader.Small.bjw) по путям:
C:\WINDOWS\system32\msftp.dll
C:\Documents and Settings\User\msftp.dll
Что он делает не знаю, юзер ничего полезного сообщить не смог
Вот Логи
Последний раз редактировалось mak83; 31.03.2008 в 12:01.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Антивирус отключить.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\User\msftp.dll','');
QuarantineFile('C:\WINDOWS\system32\msftp.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\win32.exe','');
QuarantineFile('C:\Documents and Settings\User\ntuser.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Загрузить карантин.
Обновить базы AVZ
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
базы обновил , карантин выслал
Результат загрузки
Файл сохранён как 080220_024629_virus_47bbe8e51e582.zip
Размер файла 28399
MD5 82c688cea689dfce0446764fd5191dae
Файл закачан, спасибо!
-
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\User\msftp.dll');
DeleteFile('C:\WINDOWS\system32\msftp.dll');
DeleteFile('C:\WINDOWS\system32\drivers\win32.exe');
DeleteFile('C:\Documents and Settings\User\ntuser.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось mak83; 31.03.2008 в 12:01.
-
Junior Member
- Вес репутации
- 59
Результат загрузки
Файл сохранён как 080220_033330_virus_47bbf3ea93cb0.zip
Размер файла 29829
MD5 7edc435fcc66e96f81b8c60624b37023
Файл закачан, спасибо!
Вроде пропали
что скажете???
Последний раз редактировалось mak83; 20.02.2008 в 12:40.
-
"Восст системы" отключить надо было перед лечением. Отключайте немедленно!!
Карантин больше засылать не надо. Звери удалились.
Теперь надо прикрыть дырки, если сами не знаете как, то пишите, выпишем скрипт.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
чесно скажу не знаю буду благодарен за скрипт
-
Еще одного не заметил. ТНК коллегам.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\Internet Explorer\872.exe','');
DeleteFile('C:\Program Files\Internet Explorer\872.exe');
ExecuteSysClean;
RebootWindows(true);
end.
Загрузить карантин. Еще разок сделать логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось mak83; 31.03.2008 в 12:01.
-
Junior Member
- Вес репутации
- 59
Результат загрузки
Файл сохранён как 080220_042835_virus_47bc00d3e2b7f.zip
Размер файла 9873
MD5 59cc28a0be27540a3ef577388bc0bcfe
Файл закачан, спасибо!
-
Это для закрытия дырок:
Код:
begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.
Если не нужен:
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
то вот скрипт:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\user\\msftp.dll - Trojan-Downloader.Win32.Small.hpa (DrWEB: Trojan.DownLoader.39287)
- c:\\documents and settings\\user\\ntuser.exe - Trojan-Downloader.Win32.Small.hqy (DrWEB: Trojan.DownLoader.39287)
- c:\\program files\\internet explorer\\872.exe - Trojan-Downloader.Win32.Small.hqy (DrWEB: Trojan.DownLoader.39287)
- c:\\system volume information\\_restore{d81be783-1550-4c9b-8d51-725250a564b5}\\rp1\\a0000003.exe - Trojan-Downloader.Win32.Small.hqy (DrWEB: Trojan.DownLoader.39287)
- c:\\system volume information\\_restore{d81be783-1550-4c9b-8d51-725250a564b5}\\rp1\\a0000004.exe - Trojan-Downloader.Win32.Small.hqy (DrWEB: Trojan.DownLoader.39287)
- c:\\windows\\system32\\drivers\\win32.exe - Trojan-Downloader.Win32.Small.hqy (DrWEB: Trojan.DownLoader.39287)
- c:\\windows\\system32\\msftp.dll - Trojan-Downloader.Win32.Small.hpa (DrWEB: Trojan.DownLoader.39287)
-