ieupdr2 и ie_updates3r
Добрый вечер.
Сидел в инете, вдруг антивурус стал кричать о вирусах. На рабочем столе появился файл ieupdr2.exe, а в Documents and Settings файл ie_updates3r.exe.
Мой антивирус (Antivir с последними обновлениями) вирус не видит, хотя при проверке на "Online сервисы. Проверки и тесты." Antivir всё показывает.
На машине стоит AntiVir и Outpost Firewall
Помогите плиз.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Без перезагрузкиКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\mikel\ie_updates3r.exe'); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('c:\documents and settings\mikel\ie_updates3r.exe',''); DeleteFile('c:\documents and settings\mikel\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportAll; BC_DeleteSvc('Google Online Services'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=23141
Повторите логи
Карантин выслал. Файл ieupdr2.exe всё ещё на рабочем столе.
Новые логи в аттаче.
P.S. можно ли как-нить через скрипт закрыть всякие "потенциально опасные службы"?
ieupdr2.exe - поищите при помощи АВЗ--сервис--поиск файлов на диске и вышлите согласно приложения 2 правил.
В хост файле - Вами сделаны записи?
Извиняюсь, не понялСообщение от wise-wistful
Ниже перечисленные записи Вы делали в HOSTS файле?
127.0.0.1 norton.com
127.0.0.1 multitrader.info
127.0.0.1 reggame.biz
127.0.0.1 tele-globus.biz
127.0.0.1 newasp.com.cn
127.0.0.1 mygolddinar.com
127.0.0.1 xfatum.com
127.0.0.1 think-adz2.com
127.0.0.1 daoway.biz
127.0.0.1 school-172.info
127.0.0.1 lem0n.info
127.0.0.1 fuckingwhitehats.com
127.0.0.1 supra-hosting.info
127.0.0.1 i-nt-e-r-n-e-t.com
127.0.0.1 microsoft.com
127.0.0.1 avirus.ru
127.0.0.1 avira.com
127.0.0.1 avira.de
127.0.0.1 avirus.ru
127.0.0.1 drweb.com
127.0.0.1 drweb.de
127.0.0.1 drweb.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky.ru
127.0.0.1 mcafee.ru
127.0.0.1 mcafee.com
127.0.0.1 mcafee.ua
127.0.0.1 kaspersky.ua
127.0.0.1 drweb.ua
127.0.0.1 avira.ua
127.0.0.1 avast.com
127.0.0.1 nod32.com.ua
127.0.0.1 drweb.ru
127.0.0.1 symantec.com
Ого, Не не я.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\MikeL\Рабочий стол\ieupdr2.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(13); BC_Activate; RebootWindows(true); end.
Повторите логи начиная с п.10 правил.
Сделал.
Новые логи:
Как система поживает? Проблемы какие-то наблюдаются?
Спасибо, хорошо, кроме этого (лог AVZ):
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Можно это как-нить заблочить?
можно:>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Можно это как-нить заблочить?
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и нажать кнопочку "исправить отмеченные проблемы".
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\mikel\\ie_updates3r.exe - Trojan-Downloader.Win32.Winlagons.jj (DrWEB: Trojan.DownLoader.based)
- c:\\documents and settings\\mikel\\рабочий стол\\ieupdr2.exe - Trojan-Downloader.Win32.Winlagons.jj (DrWEB: Trojan.DownLoader.based)
- c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.bcn (DrWEB: Trojan.Proxy.2842)
Уважаемый(ая) Mr.Page, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
