В общем симантек обнаружил попытку отправки почтовых сообщений. И заблокировал. Но вирус или троян не удалил. Нашел только двух Trojan.PeaComm.D и Backdoor.little Witch.
Логи высылаю, созданные с помощью AVZ и хайджей.
В общем симантек обнаружил попытку отправки почтовых сообщений. И заблокировал. Но вирус или троян не удалил. Нашел только двух Trojan.PeaComm.D и Backdoor.little Witch.
Логи высылаю, созданные с помощью AVZ и хайджей.
Последний раз редактировалось Jinn; 24.06.2008 в 23:36.
Отключите антивирус и интернет!
Пофиксите
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O4 - HKLM\..\Run: [advap32] "c:\u513gp.exe" /r O4 - HKLM\..\Run: [[system]] E:\WINDOWS\system32\drivers\spools.exe O4 - HKLM\..\Run: [winlogon] E:\Documents and Settings\kassir.BSG\cftmon.exe O4 - HKCU\..\Run: [[system]] E:\WINDOWS\system32\drivers\spools.exe O4 - HKCU\..\Run: [winlogon] E:\Documents and Settings\kassir.BSG\cftmon.exe O4 - Startup: MSWin-1723015249.exe
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('e:\windows\system32\drivers\spools.exe'); TerminateProcessByName('e:\documents and settings\kassir.bsg\ie_updates3r.exe'); SetServiceStart('Google Online Services', 4); StopService('Google Online Services'); QuarantineFile('F:\startcd.exe',''); QuarantineFile('F:\autorun.inf',''); QuarantineFile('c:\u513gp.exe',''); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('E:\Documents and Settings\kassir.BSG\cftmon.exe',''); QuarantineFile('E:\Documents and Settings\LocalService\cftmon.exe',''); QuarantineFile('E:\WINDOWS\System32\Drivers\fkP27.sys',''); QuarantineFile('E:\WINDOWS\System32\Drivers\fkP26.sys',''); QuarantineFile('E:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('e:\windows\system32\drivers\spools.exe',''); QuarantineFile('e:\documents and settings\kassir.bsg\ie_updates3r.exe',''); DeleteService('fkP26'); DeleteService('fkP27'); DeleteService('Google Online Services'); DeleteFile('e:\documents and settings\kassir.bsg\ie_updates3r.exe'); DeleteFile('e:\windows\system32\drivers\spools.exe'); DeleteFile('E:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('E:\WINDOWS\System32\Drivers\fkP26.sys'); DeleteFile('E:\WINDOWS\System32\Drivers\fkP27.sys'); DeleteFile('E:\Documents and Settings\LocalService\cftmon.exe'); DeleteFile('E:\Documents and Settings\kassir.BSG\cftmon.exe'); DeleteFile('WinCtrl32.dll'); DeleteFile('c:\u513gp.exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('fkP26 '); BC_DeleteSvc('fkP27 '); BC_DeleteSvc('Google Online Services '); BC_Activate; ExecuteRepair(1 ); RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=23883
Повторите логи.
Добавлено через 47 минут
autorun.inf, cr_call.bak, cr_msapi.bak, cr_ossl.bak, InstLib.bak, libeay32.bak, startcd.exed
Вредоносный код в файлах не обнаружен.
cftmon.exed - P2P-Worm.Win32.Agent.bz
u513gp.exed - Trojan-Downloader.Win32.Mutant.abu
WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.abp
ie_updates3r.exed - Trojan-Downloader.Win32.Winlagons.mk
Последний раз редактировалось Гриша; 02.06.2008 в 16:37. Причина: Добавлено
Уважаемый(ая) Jinn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.