Пока еще сам не научился технологии вылавливания пакости, прошу снова помощи.
Win32.HLLM.Perf
Пока еще сам не научился технологии вылавливания пакости, прошу снова помощи.
Последний раз редактировалось Rogoff; 31.07.2007 в 06:32.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINNT\wc98pp.dll',''); QuarantineFile('C:\WINNT\System32\iuctl.dll',''); QuarantineFile('C:\PROGRA~1\GISMET~1\GISMET~1.DLL',''); QuarantineFile('C:\WINNT\system32\qwe0486.dll',''); QuarantineFile('C:\WINNT\2_0_1browserhelper2.dll',''); QuarantineFile('C:\WINNT\twaintec.dll',''); QuarantineFile('C:\WINNT\system32\nwiz.exe',''); QuarantineFile('\SystemRoot\system32\ckldrv.sys',''); QuarantineFile('C:\WINNT\system32\msr2ca.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll',''); QuarantineFile('C:\WINNT\csrss.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=9974
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Каспер больно ругается на одну строчку, даже в текстовом формате.Код:R3 - URLSearchHook: MraSearch Class - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - C:\WINNT\SYSTEM\mraSearch.dll (file missing) O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll (file missing) O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINNT\2_0_1browserhelper2.dll (file missing) O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file) O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717177650486} - C:\WINNT\system32\qwe0486.dll (file missing) O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.terra.es/personal9/eroplis/rd/chm/files.chm::/file.exe O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\Documents and Settings\Anton\Local Settings\Temp\EI40_\msxml4.cab O20 - AppInit_DLLs: C:\WINNT\system32\msr2ca.dll O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)
Последний раз редактировалось drongo; 24.05.2007 в 10:44.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Ошибка: Not enough actual parameters в позиции 14:16
нашел ошибку по аналогии с другими строками.
Последний раз редактировалось Rogoff; 24.05.2007 в 10:44.
исправленоСообщение от Rogoff
скрипт выполнил, строки пофиксил, но при выполнении hijack выдал ошибку.
Новые логи делать? Карантин засылать?
Мой коллега Вам дал все необходимые инструкции.Новые логи делать? Карантин засылать?
да ,заметил, первый пост изменился. По правилам нужно засылать запрошенные файлы. Их список я так понимаю беру из скрипта?
Файл сохранён как 070524_114303_virus_465542071e9bc.zip
Размер файла 2121713
MD58ed9a95e5c16c02fd19ec76becc87a35
Скрипт нужно было выполнить!Их список я так понимаю беру из скрипта?
см. 5 сообщение. все выполнено. делаю еще раз.
Не надо! Я думал Вы вместо скрипта вручную копировали эти файлы.делаю еще раз.
Так, а я скрипт снова выполнил. Значит засылать ничего пока не буду. Жду дальнейших указаний
У вас был Email-Worm.Win32.Scano и Trojan-Proxy.Win32.Xorpix.u.
Часть работы уже сделала AVZ при создании логов.
Выполните такой скрипт:
После перезагрузки сделайте новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINNT\csrss.exe'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll'); DeleteFile('C:\WINNT\system32\msr2ca.dll'); DeleteFile('C:\WINNT\system32\qwe0486.dll'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(9); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
скрипт выполнил, логи прикрепил. Проверить систему антивирусом?
Последний раз редактировалось Rogoff; 31.07.2007 в 06:32.
Нормально, только одного мы пропустили...
1. Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINNT\Mstray.exe'); BC_DeleteFile('C:\WINNT\Mstray.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2. Пофиксите в HijackThis (второй строки может и не быть):
3. Дополнительные рекомендации:Код:O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717177650486} - C:\WINNT\system32\qwe0486.dll (file missing) O4 - HKLM\..\Run: [RavTimeXP] C:\WINNT\Mstray.exe
Насколько я понимаю, программа PC-cillin 2000 от Trend Micro у вас когда-то стояла, а теперь ее нет, но в списке служб она так и болтается. Для удаления выполните скрипт:
и после перезагрузки удалите папку C:\Program Files\Trend Micro.Код:begin BC_DeleteSvc('Tmntsrv'); BC_Activate; RebootWindows(true); end.
Также рекомендую пересмотреть список системных служб, многое можно было бы отключить для повышения безопасности и улучшения производительности, например это:
а если локальная сеть не используется для доступа к ресурсам других компьютеров (или других к вашему), то еще и это:Код:O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - C:\WINNT\system32\faxsvc.exe O23 - Service: Служба сообщений (Messenger) - Корпорация Майкрософт - C:\WINNT\System32\services.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\System32\mnmsrvc.exe O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - C:\WINNT\system32\MSTask.exe O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - C:\WINNT\system32\services.exe O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINNT\system32\tlntsvr.exe
4. После всех манипуляций сделайте новые логи, начиная с п.10 правил.Код:O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - C:\WINNT\System32\services.exe O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - C:\WINNT\System32\services.exe O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
I am not young enough to know everything...
скрипты выполнил, логи прилагаю
Последний раз редактировалось Rogoff; 31.07.2007 в 06:32.
Очень хорошо. В логах больше ничего подозрительного нет.
I am not young enough to know everything...
Уважаемый(ая) Rogoff, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
