Junior Member
Вес репутации
60
amvo.exe и 2ifetri.cmd
Здравствуйте!
У меня есть подозрения на вирус Trojan-PSW.Win32.OnLineGames.qmf
Система периодически выдаёт сообщения об ошибках:
1. amvo.exe
2. 2ifetri.cmd
Также не могу включить показ скрытых папок и файлов.
Антивирусник стоит Avast! 4.7 - вирус не находит.
Как можно вылечиться?
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Для начала выполните вот такой скрипт:
Код:
procedure DisableAutorun;
begin
// Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типы, кроме CD)
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
// Блокировка автозапуска (0x4) - заблокировали автозапуск на C:
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 4);
end;
begin
DisableAutorun;
end.
Добавлено через 2 минуты
Далее второй:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать новые логи.
Последний раз редактировалось PavelA; 21.02.2008 в 16:12 .
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
60
скрипты выполнены.
троян вроде удалён.
Вложения
Выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('D:\autorun.inf');
ExecuteSysClean;
end.
В карантине AVZ есть autorun.inf - пришлите по правилам, глянем что он запускал.
I am not young enough to know everything...
Сообщение от
nastya
скрипты выполнены.
троян вроде удалён.
Не-а. Не удалились.
После скрипта Bratez повторите логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
60
Вложения
Ну, вот теперь стало лучше.
В принципе уже вылечились, для профилактики можно дырки позакрывать.
А 'D:\autorun.inf' прислали? надо бы еще хвостики почистить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
60
2ifetri.cmd - вот это поискать на "D" через AVZ и удалить.
В AVZ файл -- восст системы -- п.6,8 отметить и нажать "Выполнить"
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
60
на флешке обнаружил: 2ifetri.cmd и autorun. Вроде удалились.
на диске D - ничего не нашёл
п. 6,8 сделала.
Последний раз редактировалось nastya; 22.02.2008 в 12:52 .
Надо повторить логи.
Непонятки какие-то творятся, вроде бы все удалили, а они снова и снова появляются.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
60
опять заражённые файлы
Вложения
Очистите папку C:\Documents and Settings\777\Local Settings\Temp
и временные файлы IE. Больше ничего плохого не видно.
Рекомендуется отключить все что вам не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Добавлено через 1 минуту
Антивирус у вас недостаточно эффективный. Советую подумать о замене.
Последний раз редактировалось Bratez; 22.02.2008 в 13:51 .
Причина: Добавлено
I am not young enough to know everything...
Junior Member
Вес репутации
60
папку очистила.
как отключить ненужные службы?
какой антивирус посоветуете?
Скажите, какие именно отключить - сделаем скрипт.
Насчет антивирусов - посмотрите это:
http://virusinfo.info/showthread.php?t=1550
I am not young enough to know everything...
Junior Member
Вес репутации
60
Вот эти отключить:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Вот скрипт для отключения ненужного:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
Если есть локальная сеть, уберите первую строчку после begin.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Спасибо большое за помощь!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 3 В ходе лечения обнаружены вредоносные программы:
c:\\autorun.inf - Trojan-GameThief.Win32.OnLineGames.qmf (DrWEB: Win32.HLLW.Autoruner) d:\\autorun.inf - Trojan-GameThief.Win32.OnLineGames.qmf (DrWEB: Win32.HLLW.Autoruner)