Постоянная перезагрузка
Пытаюсь следовать вашим правилам. Как только выполняю этот пункт:
Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты"
Компьютер перегружается. Что делать?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Попробуйте сделать это в безопасном режиме.
2. Попробуйте сделать такой лог:
http://virusinfo.info/showthread.php?t=10387
3. Сделайте лог HijackThis.
I am not young enough to know everything...
1. Попробуйте сделать это в безопасном режиме.
Прикладываю файл virusinfo_syscure.zip сделанный в безопасном режиме.
При выполнении стандартного скрипта #1 также уходит в перезагрузку.
Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" -Пуск/Сохранить протокол
Прикладываю протокол в файле protocol.rar
3. Сделайте лог HijackThis.
Прикладываю файл hijackthis.log
Далее по правилам выполнил в нормальном режиме:
10. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info"
Прикладываю файл virusinfo_syscheck.zip
Проблема в том, что комп перегружается при подключении к интернету. При отключенном интернете работает стабильно. И перегружается даже при отключенном интернете при выполнении стандартных скриптов 1 и 3 в обычном (не безопасном) режиме.
Выполнить скрипт
После этого попробовать станд скрипт №3Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('Microsoft Internet Explorer.sys',''); QuarantineFile('Gmrx78.sys',''); BC_DeleteFile('Microsoft Internet Explorer.sys'); DeleteFile('Microsoft Internet Explorer.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\Gmrx78.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Gmrx78.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2. Пофиксите в HijackThis:
3. Поищите вручную через AVZ (Сервис - Поиск файлов) след. файлы:Код:O22 - SharedTaskScheduler: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - (no file)
MDM.sys
Microsoft Internet Explorer.sys
Добавьте их в карантин.
4. Пришлите карантин по правилам. Загружать тут:
http://virusinfo.info/upload_virus.php?tid=13288
I am not young enough to know everything...
PavelA При выполнении этого скрипта также перегружается
Сейчас попробую скрипт от Bratez
Последний раз редактировалось basement; 17.10.2007 в 13:35. Причина: Добавлено
А карантин совсем пустой?
I am not young enough to know everything...
Bratez, твой скрипт тоже уводит в перезагрузку.
Строчку пофиксил
Поиск файлов ничего не дал.
Добавлено через 31 секунду
В карантине ничего нет
Последний раз редактировалось basement; 17.10.2007 в 13:36. Причина: Добавлено
Выполните такой скрипт:
Компьютер перезагрузится.Код:begin SearchRootkit(false, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Gmrx78', 'Start'); RebootWindows(true); end.
Потом скрипт из сообщения #5.
Если что попадет в карантин - пришлите.
I am not young enough to know everything...
Bratez, опять перегружается при выполнении скрипта. Есть подозрение что
SearchRootkit(); приводит к перезагрузке, как будто ресет нажали
Карантин и infected пустые
Остается загрузиться в консоль восстановления или LiveCD и переименовать файл
C:\WINDOWS\System32\Drivers\Gmrx78.sys
Затем запустить систему и сделать новый доп. лог в безопасном.
I am not young enough to know everything...
Сейчас попробую. Ему любое имя можно дать?
Кстати, вроде (тьфу-тьфу-тьфу) пока не перегружается после того как пофиксил строчку 022. Только идет постоянная сетевая активность на левые ip-шники.
Любое конечно. Потом пришлите его по правилам.
I am not young enough to know everything...
Отправил файл gmr.zip по правилам. Я его переименовал, загрузился в винду чтобы упаковать и симантек его сразу схавал с именем вируса Trojan.Srizbi так что пришлось его еще из изолятора выковыривать
Добавлено через 2 минуты
Кажись победил! После удаления этого файла пока не перегружается, посмотрю в дальнейшем. Но левая сетевая активность пропала.
Спасибо, товарищи! Особенно Bratez. Премного благодарен. Вы настоящие спецы.
Что делать в дальнейшем, чтобы уберечься от этой напасти?
Последний раз редактировалось basement; 17.10.2007 в 14:17. Причина: Добавлено
Все ОК, теперь надо сделать все логи по правилам + дополнительный лог (http://virusinfo.info/showthread.php?t=10387). Будем зачищать следы и мусор.
I am not young enough to know everything...
Ок, сейчас сделаю.
По Касперскому эта штука называется Rootkit.Win32.Agent.kb
I am not young enough to know everything...
Все скрипты прошли нормально, прикладываю файлы логов и дополнительный файл протокола из дополнительного лога.
При выполнении стандартного скрипта #3 в карантин попал файл symavc32.sys, его также высылаю упакованный.
symavc32.sys - копия того же Rootkit.Win32.Agent.kb
Выполните скрипт:
На этом пожалуй всё.Код:begin BC_DeleteSvc('MDM'); BC_DeleteSvc('Microsoft Internet Explorer'); BC_DeleteSvc('Gmrx78'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\symavc32.sys'); BC_Activate; RebootWindows(true); end.
Вот только потенциальные дырки надо закрыть, то что не нужно:
Код:>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Извиняюсь конешно, а как это убрать:
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Остальное убрать смогу сам
Уважаемый(ая) basement, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
