Словил этот самый вирус. Он взял пароль для моей ICQ и рассылает людям из моего контакт-листа тупые письма, посмотреть фотки, скачать прогу и т.п. Парочка уже повелась, молодцы. Вот поэтому всегда спрашиваю прежде чем сломя голову лететь по ссылке. Как словил пока не знаю. Антивирус у меня Trend Micro PC-Cillin Internet Security 14. Удалил все кроме... угадайте какого?... подставного csrss.exe в папке C:\WINDOWS. Отрубил восстановление и на всякий случай удалил через реестр файл Debugger отсюдова HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Вобщем не могу удалить этот самый csrss.exe из папки C:\WINDOWS
При попытке удаления запрашивает диск с MS WINDOWS XP. Потом всеравно появляется заново.
Система XP PRO SP2
Прошу прощения. С помощью Ad-Aware нашел еще
Win32.Trojandownloader.Zlob(TAC index:10)
Сейчас постараюсь выполнить правила.
Последний раз редактировалось muggsy; 16.11.2006 в 22:18.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Пришлите согласно правилам:
c:\windows\system32\drivers\cdantsrv.exe
C:\Documents and Settings\All Users\Documents\Settings\arm32.dll
ptipbmf.dll
C:\WINDOWS\system32\STARTE~1.DLL
C:\WINDOWS\csrss.exe
2. Теоретически AVZ должен был удалить arm32.dll (файл удалится после перезагрузки)
3. В протоколе видно, что AVZ не смог загрузить свой драйвер. Выдавал ли установленный антивирус какие-либо запросы на этот счет в процессе сканирования системы AVZ ?
пофиксите в HijackThis следующие строки:
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O9 - Extra button: (no name) - DctMapping - (no file)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/noc...up1.0.0.15.cab
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlmanager.akamaitools.com.edg...ex-2.0.6.0.cab
O16 - DPF: {8E82893F-7ED1-4811-A247-580DCC0E2629} (SFLauncherTDE Class) - http://www.sf.in.th/activex/StarterSFTDE.cab
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)
выполните в AVZ скрипт:
Код:
begin
QuarantineFile('C:\WINDOWS\system32\nvshell.dll','');
QuarantineFile('C:\Documents and Settings\Aleksandr\My Documents\CrackDown\CrackDown Store\[Flash Professional 8] Cracks\Flash Professional v8.0\run.exe','');
DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll');
DeleteFile('C:\Documents and Settings\Aleksandr\My Documents\CrackDown\CrackDown Store\[Flash Professional 8] Cracks\Flash Professional v8.0\run.exe');
end.
после выполнения скрипта пришлите файлы из карантина
1. Пришлите согласно правилам:
c:\windows\system32\drivers\cdantsrv.exe
C:\Documents and Settings\All Users\Documents\Settings\arm32.dll
ptipbmf.dll
C:\WINDOWS\system32\STARTE~1.DLL
C:\WINDOWS\csrss.exe
2. Теоретически AVZ должен был удалить arm32.dll (файл удалится после перезагрузки)
3. В протоколе видно, что AVZ не смог загрузить свой драйвер. Выдавал ли установленный антивирус какие-либо запросы на этот счет в процессе сканирования системы AVZ ?
arm32.dll ptipbmf.dll STARTE~1.DLL не нашел даже через поиск AVZ
В процессе проверки антивирус ничего не выдавал.
Сообщение от MOCT
пофиксите в HijackThis следующие строки:
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O9 - Extra button: (no name) - DctMapping - (no file)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/noc...up1.0.0.15.cab
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlmanager.akamaitools.com.edg...ex-2.0.6.0.cab
O16 - DPF: {8E82893F-7ED1-4811-A247-580DCC0E2629} (SFLauncherTDE Class) - http://www.sf.in.th/activex/StarterSFTDE.cab
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)
выполните в AVZ скрипт:
Код:
begin
QuarantineFile('C:\WINDOWS\system32\nvshell.dll','');
QuarantineFile('C:\Documents and Settings\Aleksandr\My Documents\CrackDown\CrackDown Store\[Flash Professional 8] Cracks\Flash Professional v8.0\run.exe','');
DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll');
DeleteFile('C:\Documents and Settings\Aleksandr\My Documents\CrackDown\CrackDown Store\[Flash Professional 8] Cracks\Flash Professional v8.0\run.exe');
end.
после выполнения скрипта пришлите файлы из карантина
на будущее - все запрошенные файлы (кроме логов) нужно присылать через специальную форму на сайте. в правилах раздела "Помогите!" про это все написано.
на будущее - все запрошенные файлы (кроме логов) нужно присылать через специальную форму на сайте. в правилах раздела "Помогите!" про это все написано.
Виноват. Просто не хотел удалять первые логи. А лимит был превышен.
Прочитал правила и сделал все так, как там написано. Удалось найти только два файла ptipbmf.dll и cdantsrv.exe
Добавил их как написано в правилах. csrss.exe я удалил с помощью антивируса. Сейчас проверял больше никаких вирусов не находит.
Последний раз редактировалось Shu_b; 17.11.2006 в 23:23.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от muggsy
