Уважаемые здравствуйте, помогите пожалуйста
Уважаемые здравствуйте, помогите пожалуйста
Последний раз редактировалось taishigo; 22.10.2009 в 09:04.
DameWare Mini Remote Control - сами устанавливали?
Добавлено через 5 минут
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('c:\windows\system32\services.exe',''); QuarantineFile('C:\WINDOWS\system32\cliconf.dll',''); QuarantineFile('C:\WINDOWS\vcdplayx.exe',''); QuarantineFile('C:\Program Files\ltmoh\Ltmoh.exe',''); QuarantineFile('AGRSMMSG.exe',''); QuarantineFile('C:\WINDOWS\system32\l33t.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\kbd.sys',''); QuarantineFile('c:\program files\yandex\online\online.exe',''); DeleteFile('C:\WINDOWS\system32\cliconf.dll'); DelBHO('{00D072A3-0380-4D22-9B43-EBA6CFCFF70F}'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19066
Добавлено через 1 минуту
Поищите припомощи AVZ - msbasic.exe, PIADA.HTM, msrunl.exe, msinit.txt
Добавлено через 35 секунд
И пришлите их согласно правил.
Повторите логи
Последний раз редактировалось akoK; 03.03.2008 в 22:15. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Архив отправил,
файлы не нашел
повторная проверка выполняется
Добавлено через 1 минуту
Агнитум оутпост сообщает время от времени
что служба services.exe
обращается к удаленному адресу 195.5.116.252:3603
что это может быть ?
Последний раз редактировалось taishigo; 04.03.2008 в 09:29. Причина: Добавлено
В карантин не попали l33t.exe и services.exe пришлите согласно правил
Добавлено через 5 минут
Адрес знаком?
195.5.116.252
s26.esthost.eu
Хост доступен, в среднем 1096 мсек
195.5.116.0 - 195.5.117.255
Compic Ltd.
Estonia
Roman Ivanov
Voru 1-28
13612, Tallinn
Estonia
phone: +3726321028
Roman Ivanov
Voru 1-28
13612, Tallinn
Estonia
phone: +3726321028
EE-COMPIC
Источник: whois.ripe.net
Последний раз редактировалось akoK; 04.03.2008 в 09:48. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
нет адрес не знаком
вот повторные логи
Последний раз редактировалось taishigo; 22.10.2009 в 09:04.
повторно отослал карантин
Последний раз редактировалось taishigo; 04.03.2008 в 10:31.
AGRSMMSG.exe, Ltmoh.exe, MM43.cab, MSIA.cab, MSIE.cab, MSIHND.cab, MSIMSG.cab, MSISIP.cab, online.exe, RICH20.cab, vdp.cab
Чистые
cliconf.dll, cliconf.dll.unp - Rootkit.Win32.Podnuha.ae
kbd.sys - Trojan.Win32.Inject.zs
Сейчас напишу скрипт...
Добавлено через 3 минуты
Выполните:
l33t.exe поищите через avz и отдельно пришлитеКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\cliconf.dll'); DeleteFile('C:\WINDOWS\system32\drivers\kbd.sys'); BC_ImportDeletedList; BC_DeleteSvc('kbd'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось rubin; 04.03.2008 в 13:59. Причина: Добавлено
l33t.exe не найден
скрипт выполнил
теперь наружу лезет файл CTFMONA.EXE пришлось его заблокировать
логи будут позже, как только avz сделает
Добавлено через 1 час 21 минуту
не могу выложить логи - сумма вложений превысила мой предел
что делать ?
Добавлено через 6 минут
не могу выложить логи - сумма вложений превысила мой предел
что делать ?
Последний раз редактировалось taishigo; 04.03.2008 в 16:31. Причина: Добавлено
В Моем кабинете удалите старые вложения
А где этот кабинет, и где можно почитать про удаление из кабинета ?
(извиняюсь за дремучую необУчённость )
спасибо разобрался с кабинетом
вот логи
Последний раз редактировалось taishigo; 22.10.2009 в 09:04.
Выполните
Пришлите новый карантин, повторите логи с п.10 ПравилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\ctfmona.exe',''); DeleteFile('C:\WINDOWS\system32\l33t.exe'); DeleteFile('C:\WINDOWS\system32\ctfmona.exe'); BC_ImportAll; BC_DeleteSvc('l33t'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
вот новые логи
карантин выслал
Последний раз редактировалось taishigo; 22.10.2009 в 09:04.
Спасибо, вроде этот пупсик одумался
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 32
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\cliconf.dll - Rootkit.Win32.Podnuha.ae (DrWEB: Trojan.DownLoader.56883)
- c:\\windows\\system32\\ctfmona.exe - not-a-virusownloader.Win32.WinFixer.ed (DrWEB: Trojan.DownLoader.49587)
- c:\\windows\\system32\\drivers\\kbd.sys - Trojan.Win32.Inject.zs (DrWEB: Trojan.Inject.777)
Уважаемый(ая) taishigo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.