-
Junior Member
- Вес репутации
- 62
ссылка на непонятного доктора
На одной из машин в сети существует проблема. Антивирус Trend OfficeScan.
во время работы периодически запускается окно IE со ссылкой на сайт с предложением провести проверку системы с лечением от вирусов и выходит системное окно с сообщением о том, что компьютер находится под угрозой, его надо проверить и обезопасить ... опять же со ссылкой на сайт с doctor-ом.
Провел проверку системы согласно правил. Высылаю логи ...
Извиняюсь за размытость формулировки, но сразу не записал название сайта (на который происходит пересыл), а после проверки этого окна пока больше не видел ... Но появляется окно с предложением перезагрузить систему, что бы изменения вступили в силу.
Последний раз редактировалось CandyMAN; 07.05.2009 в 11:03.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
На время выполнения скриптов, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью Hijackthis строчки:
Код:
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
O2 - BHO: (no name) - {247D5ABF-B54A-4CDD-B6FD-F825A27AE176} - C:\WINNT\system32\crtdl.dll
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Anisimova_ED\Application Data\kwtp.dll','');
QuarantineFile('c:\winnt\temp\cye360.exe','');
QuarantineFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL','');
QuarantineFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL','');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe','');
QuarantineFile('c:\program files\wclock32.exe','');
QuarantineFile('C:\WINNT\system32\crtdl.dll','');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');
BC_DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');
DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL');
BC_DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL');
DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL');
BC_DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL');
DeleteFile('C:\WINNT\system32\crtdl.dll');
BC_DeleteFile('C:\WINNT\system32\crtdl.dll');
DelBHO('{07B18EA9-A523-4961-B6BB-170DE4475CCA}');
DelBHO('{247D5ABF-B54A-4CDD-B6FD-F825A27AE176}');
DelBHO('{07B18EA1-A523-4961-B6BB-170DE4475CCA}');
DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=32366 , как написано в прил.2 правил, и повторите логи.
Попутно, вопрос: Netop сами ставили?
-
-
Junior Member
- Вес репутации
- 62
Файл сохранён как 081021_045931_virus_48fda803dddf9.zip
Размер файла 225546
MD5 b09079e71a0872ad6af4de0f23b4124b
NetOp установлен административно (сеть большая, к каждому бегать долго).
Логи вложены
Последний раз редактировалось CandyMAN; 07.05.2009 в 11:04.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\winnt\\system32\\crtdl.dll - Rootkit.Win32.Podnuha.bgb (DrWEB: Trojan.DownLoad.8675)
-
