-
Перестал работать удаленный рабочий стол
Здравствуйте, уважаемые специалисты. После обнаружения нодом ряда вимрусов к компьютеру невозможно подключиться по RDP. Были найдены следующие вирусы: Win32/Agent.NWW, Win32/TrojanDownloader.Bredolab.AA, Win32/TrojanDownloader.Agent.ORH, Win32/Spy.Agent. Подозреваю, что зараза еще осталась. Помогите, пожалуйста, логи прилагаю.
Последний раз редактировалось Vlan; 27.04.2009 в 06:50.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Код:
База поcледний раз обновлялась 08.02.2009
Базы обновить! (Файл- обновление баз).
Код:
Восстановление системы: включено
Отключить!
"Пофиксите" в HijackThis
Код:
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\BOSS\LOCALS~1\Temp\init.exe,C:\WINDOWS\system32\twext.exe,
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\BOSS\LOCALS~1\Temp\init.exe','');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('digiwet.dll');
DeleteFile('C:\DOCUME~1\BOSS\LOCALS~1\Temp\init.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=43814
Повторите логи по правилам.
P.S.
Код:
>> Ограничение отображения дисков в проводнике
>> Заблокированы настройки системы Windows Update
Это сами делали??
-
-
Спасибо за помощь.
Базы пробовал обновить, не обновляет, выбивает в ошибку, или вешает наглухо комп.
Восстановление системы отключу сейчас.
Ограничение отображения дисков в проводнике и блокировку настроек системы Windows Update делал сам.
Карантин и логи пришлю мин ч-з 15
-
При обновлении баз попробуйте указать другой источник.
Либо скачайте их отсюда
-
-
Карантин закачал, повторяю логи.
После выполнения рекомендаций RDP у меня заработал. Посмотрите, пожалуйста, по логам осталась еще зараза, или все чисто.
Последний раз редактировалось Vlan; 27.04.2009 в 06:50.
-
Ничего подозрительного в логах.
Установите Сервис Пак 3 - возможно потребуется активация системы - и последующие патчи.
Установите ИЕ 8
Обновите Адоби Ридер
-
-
Большое спасибо за помощь.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\twext.exe - Trojan-Spy.Win32.Zbot.ryk
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-