Junior Member
Вес репутации
59
Антивирусник информирует об атаках
Антивирусник ESET NOD32 информирует об атаках, но сканированием ничего не выявляется. Обнаружилось вчера; под покровом ночи явно какие-то собаки поналезли в ПК. Пока их присутствие никак не сказывается на работе, но я чувствую - есть они, паразиты. Можно ли их отловить?
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите антивирус и интернет!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\bli71p.exe','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winvc38.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winot74.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winlr28.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winlq84.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteService('WmdmPmSNNetman');
DeleteService('WMConnectCDS');
DeleteService('lanmanworkstationupnphost');
DeleteService('Winvc38');
DeleteService('Winot74');
DeleteService('Winbg27');
DeleteService('Winlr28');
DeleteService('Winvc38');
DeleteFile('C:\WINDOWS\System32\drivers\Winvc38.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Winlq84.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winlr28.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winot74.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('c:\bli71p.exe');
DelWinlogonNotifyByKeyName('WinCtrl32 ');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('WmdmPmSNNetman ');
BC_DeleteSvc('WMConnectCDS ');
BC_DeleteSvc('lanmanworkstationupnphost ');
BC_DeleteSvc('Winvc38 ');
BC_DeleteSvc('Winot74 ');
BC_DeleteSvc('Winbg27 ');
BC_DeleteSvc('Winlr28 ');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
Junior Member
Вес репутации
59
Ну вот, что-то получилось...
Вложения
Junior Member
Вес репутации
59
Антивирусник информирует об атаках
Граждане, гляньте логи, там уже все дохленькие или кто-то ещё шевелится?
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winpv40');
DeleteService('Winbh05');
DeleteFile('C:\WINDOWS\System32\drivers\Winbg27.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winbh05.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winpv40.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ....
Junior Member
Вес репутации
59
Антивирусник информирует об атаках
Повторяю логи, что-то там теперь?..
Вложения
отключите антивирус ...
пофиксите ...
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
выполните скрипт ....
Код:
begin
BC_DeleteSvc('TapiSrvHTTPFilter');
BC_DeleteSvc('NetDDEdsdmHidServ');
BC_DeleteSvc('dmserverDnscache');
BC_DeleteSvc('WmdmPmSNNetman');
BC_DeleteSvc('WMConnectCDS');
BC_DeleteSvc('lanmanworkstationupnphost');
BC_Activate;
RebootWindows(true);
end.
повторите логи начиная с пункта 10 правил ...
Junior Member
Вес репутации
59
Антивирусник информирует об атаках
Сделано, как было сказано, вот логи
Вложения
текстовик в автозапуске ваш ?
Junior Member
Вес репутации
59
Ну вот... А так всё хорошо начиналось... Сейчас я спрошу, что такое текстовик и мой вопрос повесят на странице юмора...
Я не понимаю вопрос...
Junior Member
Вес репутации
59
Не знаю... Вчера пыталась открыть словарик с диска, может это оттуда? Больше ничего похожего не припоминаю...
очень похоже ... но в автозапуске ему делать нечего ...
пофиксите ...
Код:
O4 - Startup: Talk Now!.lnk = E:\TALK-NOW\Tlknow16.exe
O4 - Startup: TalkNow ReadMe.lnk = E:\README.TXT
какие-то проблемы остались ?
Junior Member
Вес репутации
59
Вложения
Сообщение от
Homo Sapience
Мне кажется, что нет.
в логах ничего подозрительного
Junior Member
Вес репутации
59