Добрый день!
Отловил и уничтожил BackDoor.Bech (Dr.Web), Сеть перестала работать ещё в момент заражения! Рекомендации Майкрософт выполнил все, не помогло! Winsockxpfix не помог.
Что еще зловредного осталось в системе???
Добрый день!
Отловил и уничтожил BackDoor.Bech (Dr.Web), Сеть перестала работать ещё в момент заражения! Рекомендации Майкрософт выполнил все, не помогло! Winsockxpfix не помог.
Что еще зловредного осталось в системе???
Последний раз редактировалось YuriJJ; 13.05.2008 в 10:31.
1. Выполнить скрипт:
Карантин по правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\windres.exe',''); QuarantineFile('C:\WINDOWS\system32\tmp_4h7.dll',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll',''); QuarantineFile('Ihvk62.sys',''); QuarantineFile('C:\WINDOWS\LINKINFO.dll',''); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\tmp_4h7.dll'); DeleteFile('C:\WINDOWS\system32\1033d.exe '); DeleteFile('C:\WINDOWS\LINKINFO.dll'); BC_DeleteSvc('xmlprovhelpsvc'); ExecuteSysClean; BC_ImportAll; BC_Activate; RebootWindows(true); end.
2. Пофиксить, что останется:
O20 - AppInit_DLLs: C:\WINDOWS\system32\tmp_4h7.dll
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: partnershipreg- - C:\Documents and Settings\All Users\Äîêóìåí&# 242;û\Settings\partnership.dll (file missing)
O23 - Service: Ñëóæáà îáåñïå÷å&# 237;èÿ ñåòè xmlprovhelpsvc (xmlprovhelpsvc) - Unknown owner - C:\WINDOWS\system32\1033d.exe (file missing)
Последний раз редактировалось Alex_Goodwin; 23.09.2007 в 22:12.
1. Выполнил.
отправил:
Файл сохранён как 070923_131311_virus_46f6acb778dc6.zip
Размер файла 17000
MD5 74b67b76c926efc56d6fcb9ae2ed9237
2. Сделал.
Давайте новые логи.
Пожалуйста!
Последний раз редактировалось YuriJJ; 13.05.2008 в 10:31.
1. Выполните скрипт:
2. Карантин по правилам. Если Ihvk62.sys не добавится поискать по правилам.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\1033d.exe '); DeleteFile('C:\WINDOWS\LINKINFO.dll'); QuarantineFile('Ihvk62.sys',''); ExecuteSysClean; BC_DeleteSvc('xmlprovhelpsvc'); BC_ImportAll; BC_Activate; RebootWindows(true); end.
3. Выполните пункт 2 правил - просканируйте утилиткой от доктора. К вам это тоже относится, если у вас не 4.44. Т.к. релизная куреИт 4.44, а антивирус 4.33
Последний раз редактировалось Alex_Goodwin; 23.09.2007 в 23:21.
Сделал.
Последний раз редактировалось YuriJJ; 13.05.2008 в 10:31.
Вы все сделали? Перечитайте мое сообщение..
Sorry почитал пост в первой редакции!
Делаю.
Добавлено через 7 минут
При попытке добавления Ihvk62.sys в карантин жалуется:
Ошибка карантина файла, попытка прямого чтения (Ihvk62.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\Ihvk62.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\Ihvk62.sys)
Карантин с использованием прямого чтения - ошибка
Последний раз редактировалось YuriJJ; 23.09.2007 в 23:30. Причина: Добавлено
выполните еще такой скрипт...
После перезагрузки выполните скриптКод:begin SearchRootkit(false, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Ihvk62', 'Start'); RebootWindows(true); end.
Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('Ihvk62.sys',''); DeleteFile('Ihvk62.sys'); BC_ImportDeletedList; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось V_Bond; 23.09.2007 в 23:51.
В Ihvk62.sys и symavc32.sys CureIt нашел и удалил Trojan.NtRootKit.367.
Последний раз редактировалось YuriJJ; 24.09.2007 в 00:24.
тогда новые логи....
Готовы:
Последний раз редактировалось YuriJJ; 13.05.2008 в 10:31.
Чисто!
Что из этого нужно?
Интернет восстановился?>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Интернета так и нет, Что-то в TCP IP поломалось! Wincock переустанавливал, не помогает!
Буду завтра разбираться!
Добавлено через 1 минуту
Спасибо всем! (кнопку жал! )
Последний раз редактировалось YuriJJ; 24.09.2007 в 01:24. Причина: Добавлено
Попробуйте http://winsockfix.nl/
Через что в инет ходите?
Пробовал! Она ведь то же делает, что я ручками в реестре кажеться!
Интернетчерез локальную сеть обобщенно. Так вот, когда состояние сетевого подключения открываю, там на закладке "Поддержка" ни один адрес не указан! Говорю "Исправить", а он мне: "Невозможно завершить исправление ошибки, так как не удается выполнить следующие действия: Не удается получить параметры протокола TCP/IP для этого подключения. Продолжение невозможно."
Удалите подключение и создайте заново. Можно удалить TCP/IP для подключения и поставить его заново.
Завтра может кто-нибудь подскажет что-то дельное.
Сносил, ставил карту. Не помогает!
На команду Ping говорит: "Не удается обратиться к драйверу IP. Код ошибки 2."
Попробуйте сам tcpip.sys восстановить с компакта, может его снесли.
Аутпост раньше стоял?
Еще вариант - winsockfix в безопасном режиме.
Уважаемый(ая) YuriJJ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.