Подключил на работе сотрудник свою мобилку к ПК и завелась такая гадость.
Email-Worm.Win32.Warezov.et-как убрать?
Подключил на работе сотрудник свою мобилку к ПК и завелась такая гадость.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните проверку Куреитом (правила пункт 2)
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\SoftwareDistribution\Download\Windows Vista setup .scr',''); QuarantineFile('C:\WINDOWS\system32\wmdrtc32.bak',''); QuarantineFile('E:\Program Files\USB Disk Security .scr',''); QuarantineFile('E:\Program Files\USB Disk Security\quarantine .scr',''); QuarantineFile('E:\Мои документы .scr',''); QuarantineFile('E:\Архивы .scr',''); QuarantineFile('E:\Distributives .scr',''); QuarantineFile('E:\Program Files .scr',''); QuarantineFile('C:\Program Files\WinRAR\WinRAR.exe.bak',''); QuarantineFile('C:\Program Files\Movie Maker\Shared\Titip Folder Jangan DiHapus .exe',''); QuarantineFile('C:\Program Files\Movie Maker\Shared\THe Best Ungu .scr',''); QuarantineFile('C:\Program Files\Movie Maker\Shared\Norman virus Control 5.18 .exe',''); QuarantineFile('C:\Program Files\Movie Maker\Shared\New mp3 BaraT !! .exe',''); QuarantineFile('C:\Program Files\Movie Maker\Shared\Lagu - Server .scr',''); QuarantineFile('C:\Program Files\Movie Maker\Shared\Gallery .scr',''); QuarantineFile('C:\Program Files\Movie Maker\Shared\Data DosenKu .exe',''); QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\THe Best Ungu .scr',''); QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Lagu - Server .scr',''); QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Norman virus Control 5.18 .exe',''); QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Data DosenKu .exe',''); QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Blink 182 .exe',''); QuarantineFile('C:\WINDOWS\system32\X61345go\Z227487cie.cmd',''); QuarantineFile('C:\WINDOWS\system32\227487645073l.exe',''); QuarantineFile('C:\WINDOWS\sa-865388.exe',''); QuarantineFile('C:\WINDOWS\M14616\Ja67831bLay.com',''); QuarantineFile('C:\WINDOWS\C:\WINDOWS\system32\svchost.exe',''); DeleteService('SharedAccess'); QuarantineFile('C:\WINDOWS\system32\drivers\rhkhqj.sys',''); QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll',''); QuarantineFile('C:\WINDOWS\M14616\smss.exe',''); QuarantineFile('C:\WINDOWS\M14616\EmangEloh.exe',''); QuarantineFile('C:\Documents and Settings\Olga\Шаблоны\O74857Z\winlogon.exe',''); QuarantineFile('C:\Documents and Settings\Olga\Шаблоны\O74857Z\service.exe',''); QuarantineFile('c:\documents and settings\olga\Шаблоны\o74857z\winlogon.exe',''); TerminateProcessByName('c:\documents and settings\olga\Шаблоны\o74857z\winlogon.exe'); QuarantineFile('c:\windows\m14616\smss.exe',''); TerminateProcessByName('c:\windows\m14616\smss.exe'); QuarantineFile('c:\documents and settings\olga\Шаблоны\o74857z\service.exe',''); TerminateProcessByName('c:\documents and settings\olga\Шаблоны\o74857z\service.exe'); QuarantineFile('c:\windows\m14616\emangeloh.exe',''); TerminateProcessByName('c:\windows\m14616\emangeloh.exe'); DeleteFile('c:\windows\m14616\emangeloh.exe'); DeleteFile('c:\documents and settings\olga\Шаблоны\o74857z\service.exe'); DeleteFile('c:\windows\m14616\smss.exe'); DeleteFile('c:\documents and settings\olga\Шаблоны\o74857z\winlogon.exe'); DeleteFile('C:\Documents and Settings\Olga\Шаблоны\O74857Z\service.exe'); DeleteFile('C:\Documents and Settings\Olga\Шаблоны\O74857Z\winlogon.exe'); DeleteFile('C:\WINDOWS\M14616\EmangEloh.exe'); DeleteFile('C:\WINDOWS\M14616\smss.exe'); DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll'); DeleteFile('C:\WINDOWS\system32\drivers\rhkhqj.sys'); DeleteFile('C:\WINDOWS\C:\WINDOWS\system32\svchost.exe'); DeleteFile('C:\WINDOWS\M14616\Ja67831bLay.com'); DeleteFile('C:\WINDOWS\sa-865388.exe'); DeleteFile('C:\WINDOWS\system32\227487645073l.exe'); DeleteFile('C:\WINDOWS\system32\X61345go\Z227487cie.cmd'); DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Blink 182 .exe'); DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Data DosenKu .exe'); DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Norman virus Control 5.18 .exe'); DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Lagu - Server .scr'); DeleteFile('C:\Program Files\Common Files\Microsoft Shared\THe Best Ungu .scr'); DeleteFile('C:\Program Files\Movie Maker\Shared\Data DosenKu .exe'); DeleteFile('C:\Program Files\Movie Maker\Shared\Gallery .scr'); DeleteFile('C:\Program Files\Movie Maker\Shared\Lagu - Server .scr'); DeleteFile('C:\Program Files\Movie Maker\Shared\New mp3 BaraT !! .exe'); DeleteFile('C:\Program Files\Movie Maker\Shared\Norman virus Control 5.18 .exe'); DeleteFile('C:\Program Files\Movie Maker\Shared\THe Best Ungu .scr'); DeleteFile('C:\Program Files\Movie Maker\Shared\Titip Folder Jangan DiHapus .exe'); DeleteFile('C:\Program Files\WinRAR\WinRAR.exe.bak'); DeleteFile('C:\WINDOWS\system32\wmdrtc32.bak'); DeleteFile('C:\WINDOWS\SoftwareDistribution\Download\Windows Vista setup .scr'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Новые логи
- Выполните скрипт
После перезагрузки:Код:begin QuarantineFile('C:\Documents and Settings\Olga\Шаблоны\O74857Z\TuxO74857Z.exe',''); RebootWindows(true); end.
- Сделайте повторные логи по правилам.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-Пофиксите
Если это не Ваше - тоже ПофикситеКод:O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Поудаляйте всю ерунду из приложенного списка.Код:F2 - REG:system.ini: Shell=explorer.exe, "C:\Documents and Settings\Olga\Шаблоны\O74857Z\TuxO74857Z.exe"
Последний раз редактировалось Rene-gad; 18.07.2009 в 19:22.
Спасибо Rene-gad, вечером займусь. Компьютер на работе, а я сегодня в отпуск вышел. Сделаю вечером, логи вышлю.
Тогда приятного отпускаСообщение от byte
Повторные логи до удаления прикрепленного списка. Не дает загрузить syscheck.zip?
-Пофиксите
Какие еще проблемы остались?Код:O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
С загрузкой логов у нас сейчас проблемы, извините.
Долг
PS Проблем никаких, не считая, что папки диска Е (те флешки) он попортил добавив к ним .scr их пришлось удалить
Rene-gad спасибо за помощь. Удачи.
И последняя просьба: Посоветуйте антивирус. Сейчас стоит для профилактики только AVZ4
Посмотрите в конце лога список Подозрительных обьектов: Он довольно длинный. Решайте зами, что оттуда Вам нужно, а что - не очень
АВЗ не антивирус
Поищите в форуме - есть много обсуждений различных АВ - программ.
Сервис Пак 3 поставить не забудьте.
OK, спасибо за совет!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 113
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) byte, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
