Здравствуйте.
Прошу помощи по уже несколько раз описаной ниже ситуации.
Здравствуйте.
Прошу помощи по уже несколько раз описаной ниже ситуации.
Отключите восстановление системы!
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem220.dll (file missing) O2 - BHO: (no name) - {0d2def3a-f4f1-42ec-ac4f-132e7ba6e292} - (no file) O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll (file missing) O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem303.dll (file missing) O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - (no file) O3 - Toolbar: (no name) - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - (no file) O9 - Extra button: (no name) - DctMapping - (no file) O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) - O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - O18 - Protocol: ayb - (no CLSID) - (no file) O20 - Winlogon Notify: alcopt - C:\WINNT\SYSTEM32\alcopt.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINNT\System32\alcop.sys',''); QuarantineFile('C:\WINNT\System32\alcopt.dll',''); DeleteFile('C:\WINNT\System32\alcopt.dll'); DeleteFile('C:\WINNT\System32\alcop.sys'); BC_ImportALL; BC_DeleteSvc('alcop'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=18622).
Сделайте новые логи.
I am not young enough to know everything...
Подскажите, как отключить "восстановление системы" в Win2000?
... и нужно ли это делать вообще, ведь в правилах в скобках точно указаны операционные системы?
Последний раз редактировалось Masterok; 25.02.2008 в 14:16.
Пардон, для Win2000 действительно это не предусмотрено
I am not young enough to know everything...
...Благодарю за внимание к моему вопросу. Карантин закачан.
В логах чисто. Только пофиксите в HijackThis:
Рекомендуется отключить все что вам не нужно из этого списка:Код:R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O18 - Protocol: ayb - (no CLSID) - (no file) O20 - Winlogon Notify: alcopt - alcopt.dll (file missing)
Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром) >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet) >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений) >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX >> Безопасность: Разрешены терминальные подключения к данному ПК >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Спасибо за помощь. Симптомы заражения исчезли. Надеюсь на нормальную работу.
Добавлено через 2 часа 39 минут
Прошу совета. После проведенного лечения обнаружилась потеря авторизованного доступа к некоторым партнерским сайтам. После ввода логина и пароля они зависают в глубокой задумчивости. Может ли быть какая-то связь или это результаты заражения?
Добавлено через 1 час 6 минут
Установка альтернативного браузера сняла проблему. Firefox все загружает нормально, IE - висит и ничего не хочет делать.
Последний раз редактировалось Masterok; 25.02.2008 в 21:10. Причина: Добавлено
Internet Explorer v6.00 SP1
А если установить более новую версию?
Что порекомендуете для Win2000? Есть мнение, что IE 7.0 не подойдет.
Почему бы не попробовать альтернативный браузер? Firefox, Opera, например.
Попробовал. Сейчас использую Firefox. Проблем пока нет. Думаю, что какие-то проблемы с настройками безопасности IE.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\winnt\\system32\\alcopt.dll - Backdoor.Win32.Agent.eqn (DrWEB: Trojan.PWS.GoldSpy)
Уважаемый(ая) Masterok, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.