Помогите разобраться начинающему пользователю! Обнаружила недавно на своем компьютере вирусы Email-Worm.Win32.Bagle.fn, Trojan-Downloader.Win32.Bagle.ao, Trojan-Proxy.Win32.Xorpix.v. и что-то еще. AVZ их, вроде, удалил. Но, как мне кажется из отчета, какие-то проблемы остались. Очень настораживает то, что выходит:
Опасно - отладчик процесса "explorer.exe" = "C:\WINDOWS\csrss.exe" И еще что-то в этом духе. Что с этим делать? К сожалению, плохо разбираюсь в этих вещах… Пожалуйста, подскажите, в чем дело!!! Помогите начинающему пользователю!!! С правилами ознакомилась.
Последний раз редактировалось Ана; 23.08.2006 в 18:49.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Помогите разобраться начинающему пользователю! Обнаружила недавно на своем компьютере вирусы Email-Worm.Win32.Bagle.fn, Trojan-Downloader.Win32.Bagle.ao, Trojan-Proxy.Win32.Xorpix.v. и что-то еще. AVZ их, вроде, удалил. Но, как мне кажется из отчета, какие-то проблемы остались. Очень настораживает то, что выходит:
Опасно - отладчик процесса "explorer.exe" = "C:\WINDOWS\csrss.exe" И еще что-то в этом духе. Что с этим делать? К сожалению, плохо разбираюсь в этих вещах… Пожалуйста, подскажите, в чем дело!!! Помогите начинающему пользователю!!! С правилами ознакомилась.
Это почти наверняка червь семейства Scano (см. http://z-oleg.com/secur/virlist/vir1155.php) и Bagle (http://z-oleg.com/secur/virlist/vir1139.php) - симптомы очень похожи.
1. Пришлите для анатиза согласно правилам следующие файлы:
c:\documents and settings\Оксана\application data\hidn\hidn1.exe
c:\program files\common files\installshield\updateservice\issch.exe
c:\windows\lsass.exe
c:\windows\system32\wintems.exe
C:\Documents and Settings\Оксана\Application Data\Mra\Update\games.dll
C:\WINDOWS\system32\DRWHOOK.DLL
C:\Documents and Settings\Оксана\Application Data\hidn\m_hook.sys
\SystemRoot\System32\Drivers\kbfilter.SYS
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Documents and Settings\Оксана\Application Data\m\mdelk.exe
C:\Documents and Settings\Оксана\Application Data\hidn\hidn1.exe
C:\WINDOWS\system32\im_2.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\muangsys.dll
2. Что у Вас с антивирусами ? В логе видно KAV и Stop, их базы обновляются ?
c:\documents and settings\Оксана\application data\hidn\hidn1.exe
C:\Documents and Settings\Оксана\Application Data\hidn\hidn1.exe
C:\Documents and Settings\Оксана\Application Data\hidn\m_hook.sys
Baagle.fy, удалять!
C:\Documents and Settings\Оксана\Application Data\m\mdelk.exe
Trojan-Downloader.Baagle.aw, удалять.
C:\WINDOWS\system32\wintems.exe
Trojan-Downloader.Baagle.aw, удалять.
c:\windows\lsass.exe
Pinch?!, удалять!
C:\WINDOWS\system32\DRWHOOK.DLL это от доктора, оставить.
>2. Что у Вас с антивирусами ? В логе видно KAV и Stop, их базы обновляются ?
Забудь Ж) m_hook.sys драйвер багле их снес и удалил с диска
Либо АВЗ либо сейф-моде.
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
Всем привет и спасибо за отклики! 1. Файлы отправила. Но почему-то через страничку https://virusinfo.info/upload_virus.phpзакачать не получилось. Пришлось скинуть на адрес [email protected]. И еще… почему-то из 13 запрошенных файлов нашлось только 9.
2. Что касается антивирусников. KAV не работает, но почему-то и не удаляется. При попытке удаления программы через панель управления выходит: Неверный параметр /locals¬1/temp/set7.tmp А при открытии – «Ошибка загружаемого профиля». Stop установлен был буквально на днях – работает, базы обновляются. Перед запуском AVZ на всякий случай скачала DrWeb - CureIT! и проверяла систему, согласно инструкциям, сначала через нее. 3. Олег, спасибо за ссылки. Хоть немного теперь представляю, с кем имею дело. А что дальше-то делать с этими ужасными Scano и Bagle? Удалять, как в этих ссылках написано?
Понятно...
Ну, а делать-то что? Удалить их или как-то лечить?
Подскажите!
Нужно для начала сделать так:
1. Закрыть все программы
2. Запустить AVZ, пролечить систему с включенным противодействием руткитам, после чего активировать AVZ Guard
3. Через отложенное удаление AVZ (Файл/Отложенное удаление) поочередно удалить файлы:
c:\documents and settings\Оксана\application data\hidn\hidn1.exe
C:\Documents and Settings\Оксана\Application Data\hidn\m_hook.sys
c:\windows\system32\wintems.exe
c:\windows\lsass.exe
4. Выполнить «Файл/Восстановление системы» в AVZ, там отметить пункт «Удаление отладчиков системных процессов» и нажать «Выполнить отмеченные операции»
5. Перезагрузиться не выходя из AVZ и не выключая AVZ Guard
6. После перезагрузки повторно сделать логи согласно правилам и поместить сюда - для контроля
Перед выполнением этого алгоритма обязательно нужно изучить (или распечатать) совет http://z-oleg.com/secur/advice/adv1103.php - он вероятнее всего не понадобится, так как необходимая операция делается на шаге 4 предложенного алгоритма, но на всякий случай, если вдруг после перезагрузки исчезнет рабочий стол, то этот совет поможет.
Попыталась сделать то, что Вы посоветовали. Но на этапе 2, во время работы AVZ вышло сообщение
Invalid pointer operation
Файлы, которые нужно удалить через отложенное удаление при обзоре не обнаруживаются. Папку hidn в принципе нигде не могу найти. lsass.exe есть, но путь к ней не C:\WINDOWS\ lsass.exe а C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\lsass.exe - это файл системный, его удалять не надо.
Я так понимаю, что надо не через обзор файлы искать (у меня тоже противодействие руткитам не всегда спасало от сокрытия hidn), а просто скопировать в список AVZ приведённые в сообщении Олега пути.
Спасибо за совет скопировать в список AVZ приведённые пути! Помогло, но частично. AVZ пишет, что не обнаружен файл C:\WINDOWS\system32\lsass.exe С остальными файлами сработало. Все остальное, согласно инструкциям, сделала. Высылаю логи. Посмотрите, пожалуйста…
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: