-
Junior Member
- Вес репутации
- 59
Заражен TrojanDownLoader.44897
Симптомы: траффик исчезает неизвестно куда, постоянно выскакивает окно MDM.exe/
Проверял систему утилитой Cureit в безопасном режиме с поддержкой командной строки, восстановление системы и сеть отключил. Утилита нашла вирус и удалила его. После перезагрузки антивирус опять находит его. На машине стоит Trendmicro OfficeScan.
Последний раз редактировалось Maxxmen; 13.03.2008 в 13:12.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Schedule', 4);
SetServiceStart('msupdate', 4);
StopService('msupdate');
StopService('Schedule');
QuarantineFile('C:\WINDOWS\TEMP\MGE6F4.EXE','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\ftpdll.dll','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteService('msupdate');
DeleteService('Schedule');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19629
Повторите логи
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось Maxxmen; 13.03.2008 в 13:12.
-
пофиксите ...
Код:
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\fin2\Local Settings\Application Data\cftmon.exe
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\fin2\Local Settings\Application Data\cftmon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
RebootWindows(true);
end.
повторите логи начиная с пункта 10 правил ...
UO3F53.EXE - известная вам вещица ?
-
-
Junior Member
- Вес репутации
- 59
профиксил.
При выполнении скрипта система перезагружается.
с UO3F53.EXE не знаком.
Последний раз редактировалось Maxxmen; 13.03.2008 в 13:12.
-
UO3F53.EXE - поищите через авз - сервис - поиск файлов на диске ... если найдется пришлите по правилам ...
-
-
Junior Member
- Вес репутации
- 59
-
hijackthis.log - повторите ...
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось Maxxmen; 13.03.2008 в 13:12.
-
теперь все понятно .... это от тренд микро .... больше не вижу ничего подозрительного ...
-
-
Junior Member
- Вес репутации
- 59
-
да, всех истребили ....
остались какие -то проблемы ?
-
-
Junior Member
- Вес репутации
- 59
Сейчас проверю cureit если не найдет - все нормально. Спасибо!