Произошло нашествие вирусов.
Отвалилась сеть.
Сильно тормозит.
Часть почистил CureIt
Помогите довести дело до конца ! Вирусов
Произошло нашествие вирусов.
Отвалилась сеть.
Сильно тормозит.
Часть почистил CureIt
Помогите довести дело до конца ! Вирусов
Выполнить скрипт:
После перезагрузки загрузить карантин через ссылку вверху темы.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA',''); QuarantineFile('bt848rom.dll',''); QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\partnership.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll',''); QuarantineFile('c:\docume~1\kozlovaa\locals~1\temp\winlogon.exe',''); DeleteFile('c:\docume~1\kozlovaa\locals~1\temp\winlogon.exe'); BC_DeleteFile('c:\docume~1\kozlovaa\locals~1\temp\winlogon.exe'); BC_DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll'); DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll'); DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\partnership.dll'); BC_DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\partnership.dll'); DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe'); BC_DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe'); DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA'); DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Затем второй скрипт:
Сделать новые логи.Код:begin ExecuteRepair(11); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Все сделал.
Карантин закачал.
ExecuteRepair ( 11 ) выполнил.
Новые логи.
Пока изменений нет. Сеть недоступна.
ipconfig пишет : внутренняя ошибка.
При загрузке Windows XP долго думает между логином и появлением рабочего стола.
Жду дальнейших инструкций.
Таскманагер ожил?
Для сетки скачай winsockxpfix с www.tacktech.com/pub/winsockfix/WinsockFix.zip
, но пока не запускай.
Профиксить в hijackthis:
Выполнить скрипт в защищенном режиме:Код:O20 - Winlogon Notify: arm32reg - C:\WINDOWS\ O20 - Winlogon Notify: bt848rom - bt848rom.dll (file missing) O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\STLHR\stlhr32.exe',''); QuarantineFile('Xit36.sys',''); BC_DeleteSvc('msupdate'); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось PavelA; 03.10.2007 в 14:35.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
В дополнение к вышесказанному выполните скрипт:
После перезагрузки пришлите карантин согласно приложению 3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\system32\drivers\Xit36.sys',''); DeleteFile('C:\Windows\system32\drivers\Xit36.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Диспетчер задач открывается и раньше открывался
Все пофиксил.
WinSockFix скачал.
Оба скрипта выполнил.
Карантин закачал.
Новые логи ?
Xit36.sys - Rootkit.Win32.Agent.jc
stlhr32.exe - чистый.
Да, логи сделайте для контроля.
I am not young enough to know everything...
Наборчик из первого карантина:
Trojan-Dropper.Win32.Mudrop.eu, Trojan.Win32.Inject.ga, Trojan-Downloader.Win32.Tibs.oc
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Логи сделал.
Можно воспользоваться WinSockFix ?
Больше ничего подозрительного нет, теперь самое время для WinSockFix. Только предварительно запишите все настройки сетевых подключений, т.к. они будут сброшены.
Добавлено через 2 минуты
И в завершение - список потенциальных уязвимостей:
Скажите, что из этого нужно, остальное отключим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry) >> Службы: разрешена потенциально опасная служба TermService (Terminal Services) >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service) >> Службы: разрешена потенциально опасная служба Alerter (Alerter) >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешены терминальные подключения к данному ПК
Последний раз редактировалось Bratez; 03.10.2007 в 16:17. Причина: Добавлено
I am not young enough to know everything...
Не помогло. УВЫ
ipconfig выдает :
C:\Documents and Settings\KozlovaA>ipconfig
Настройка протокола IP для Windows
Произошла внутренняя ошибка: Такой запрос не поддерживается.
Дополнительные сведения: не удалось запросить имя узла.
При загрузке Windows XP между логином и загрузкой рабочего стола по-прежднему зависает на 2 минуты ( винтом не дрыгает, Машинка 3ГГц, 2Гб , в общем быстрая ).
При логине когда нажимаешь Ctrl+Alt+Del Выскакивает окно с неактивным Memo-полем и кнопкой "Ок". В мемо-поле и заголовке окна - мусор ( крякозяблы ).
Что-нибудь еще может помочь ?
Ничего из этого списка не нужно. Если , что-то будет нужно , потом включу.
Можно еще попробовать в AVZ Файл - Восстановление системы - п.18.
Если не поможет, наверно придется заливать винду поверх вашей "восстановлением".
I am not young enough to know everything...
Покопай gpedit полиси и стартовые скрипты.
Долгий старт - что-то из Автозапуска мучается при старте.
Не лишним будет лог событий проанализировать.
Еще все сетевые диски пока отключи, все равно сетка недоступна.
Из-за большого количества их и принтеров м.б. задержка.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Скорее всего что-то из системных служб, прямо или косвенно связанное с сетью, возможно RPC или Workstation.Долгий старт - что-то из Автозапуска мучается при старте.
I am not young enough to know everything...
Помогло только восстановление Windows XP
Теперь все путем !
Только сожрали вирусы-гады из меню "Пуск" половину ярлыков на проги.
Всем спасибо !
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\kozlovaa\\local settings\\temp\\winlogon.exe - Trojan-Dropper.Win32.Mudrop.eu (DrWEB: Trojan.Spambot.2384)
- c:\\docume~1\\kozlovaa\\locals~1\\temp\\winlogon.e xe - Trojan-Dropper.Win32.Mudrop.eu (DrWEB: Trojan.Spambot.2384)
- c:\\windows\\system32\\drivers\\xit36.sys - Rootkit.Win32.Agent.jc (DrWEB: Trojan.NtRootKit.405)
- c:\\windows\\system32\\svchost.exe:exe.exe:$data - Trojan.Win32.Inject.ga (DrWEB: Trojan.DownLoader.34860)
- c:\\windows\\system32\\vedxg6ame4.exe - Trojan-Downloader.Win32.Tibs.oc (DrWEB: Trojan.Packed.142)
Уважаемый(ая) Z1000000, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.