-
Junior Member
- Вес репутации
- 62
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O1 - Hosts: http://equi.hf.zoo http://equi.ath.cx
O1 - Hosts: 222.111.150.111 gwgt1.joymax.com
O20 - Winlogon Notify: efcyy - C:\WINNT\
O20 - Winlogon Notify: efcyy- - C:\WINNT\
O20 - Winlogon Notify: nnnkife - C:\WINNT\
O20 - Winlogon Notify: nnnkife- - C:\WINNT\
O23 - Service: Ntlg7nwsmaa - Unknown owner - (no file)
2. AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine();
QuarantineFile('C:\WINNT\system32\vp6dec_settings.cpl','');
QuarantineFile('C:\WINNT\system32\vp7dec_settings.cpl','');
RebootWindows(true);
end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=9020
c:\shttps\http.exe- сами ставили ? мирк тоже сами ?
3. У вас остались следы одного из вариантов coolweb search .
скачать это http://www.trendmicro.com/ftp/produc...cwshredder.exe, отключиться от инета, закрыть эксплорер , запустить . Всё что найдёт, выбрать и нажать fix. Перегрузиться.
-
-
Junior Member
- Вес репутации
- 62
Спасибо за оперативный ответ.
Архив с вирусом выслал. Но не из АВЗ-шки, а то что я лично сам выковырял, потому что ни АВЗ ни АВП этот вирус не нашли.
Файл сохранён как 070416_154917_virus_462362bd88a53.ZIP
Размер файла 301796
MD5 692b04cb097f7236ecb379015f328775
c:\shttps\http.exe- сами ставили ? мирк тоже сами ?
Конечно сам.
1. SHTTP - это хттп, фтп и проч. сервер, маленький, навороченный, удобный для теста многих вещей, может работать сервисом.
Взято тут: http://smallsrv.com/indexr.htm
2. Ну а как же без ирц в домашней-то сети? Так что мирку в автозагрузку ставил сам.
QuarantineFile('C:\WINNT\system32\vp6dec_settings. cpl','');
QuarantineFile('C:\WINNT\system32\vp7dec_settings. cpl','');
vp6 и vp7 - это кодеки видео, карантинить их не вижу смысла, потому скрипт не выполнял.
"The On2 VP6 Video Codec"
Взято тут: http://www.on2.com
-
Что просили пофиксить, сделали?
Сообщение от
BlackCat
vp6 и vp7 - это кодеки видео, карантинить их не вижу смысла, потому скрипт не выполнял.
"The On2 VP6 Video Codec"
Взято тут:
http://www.on2.com
Карантинить нужно не только для того, чтоб удалять, но и для того, чтоб в будущем АВЗ знал, что это файлы безопасные.
-
-
Junior Member
- Вес репутации
- 62
Ну если дело в этом, то могу выслать, это не проблема.
У вас остались следы одного из вариантов coolweb search
Таки ничего не нашлось. А какие следы остались? Можно немножко подробнее, я их ручками выковыряю.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- \\efcyy.dll - not-a-virus:AdWare.Win32.Virtumonde.iq (DrWEB: Trojan.Virtumod)
- \\nnnkife.dll - not-a-virus:AdWare.Win32.Virtumonde.ig (DrWEB: Trojan.Virtumod)
- \\qmedia.exe.vir - Backdoor.Win32.VanBot.bs (DrWEB: BackDoor.Crvic)
-