-
Junior Member
- Вес репутации
- 62
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\rundll32.exe','');
QuarantineFile('c:\windows\system32\nvsvc86.exe','');
QuarantineFile('c:\windows\system32\mdm.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите карантин согласно приложению 3 правил
Добавлено через 3 минуты
Затем выполните такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\mdm.exe');
DeleteFile('c:\windows\system32\nvsvc86.exe');
DeleteFile('c:\windows\rundll32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
и сделайте новые логи.
Последний раз редактировалось Bratez; 31.10.2007 в 09:29.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Все сделала.
Результат загрузки
Файл сохранён как071031_063217_virus_472867c184db7.zipРазмер файла125947MD5e0d1c3679c62c950c00343ce3e3fd45dФайл закачан, спасибо!
Логи опять все сделать не смогла на пункте 8 комп пошел на перезагрузку.
Остальные 2 прикладываю
-
Все трое - Trojan.Win32.StartPage, успешно удалены.
Но вот невозможность сделать лог syscure - это плохо.
Сделайте в безопасном режиме дополнительный лог:
http://virusinfo.info/showthread.php?t=10387
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Опять выскакивает это:
И приходится перезагружать комп.
Вкладываю дополнительный лог.
кстати когда делала 1 пункт из темы http://virusinfo.info/showthread.php?t=10387
Он мне выдал: проверка не производится т.к. не установлен драйвер мониторинга AVZPM
-
Ничего нового в дополнительном логе не увидел, однако двое из успешно удаленных опять на месте! Скорее всего они проникают к вам через какую-то уязвимость в вашей системе, коих у вас предостаточно, потому что:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Сообщение об ошибке Generic Host Process - тому подтверждение.
Нужно установить SP2 + последующие обновления, иначе лечиться можно до бесконечности.
Удалить "тараканов" можно повторением второго скрипта из сообщения #2.
Добавлено через 2 минуты
Кроме вышесказанного, надо отключить все что вам не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба Messenger (Служба сообщений)
>> разрешена потенциально опасная служба Alerter (Оповещатель)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
Последний раз редактировалось Bratez; 31.10.2007 в 15:57.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Т.е. это переустановка Виндоуса будет? или просто обновление?
Это своими руками моно сделать?
А где мне отключать все эти функции?
-
установка СП2 - это обновление .... но учтите ,что ваш крек на сп2 работать не будет ... потребуется повторная активация ...
если компьютер домашний ... то можно закрыть практически все ...
этим скриптом...
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 62
Спасибо. все поняла.
Буду пытаться как можно быстрее обновить Винду...
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\rundll32.exe - Trojan.Win32.Articles.e (DrWEB: Trojan.PWS.Wow.637)
- c:\\windows\\system32\\mdm.exe - Trojan.Win32.Articles.e (DrWEB: Trojan.PWS.Wow.637)
- c:\\windows\\system32\\nvsvc86.exe - Trojan.Win32.StartPage.ath (DrWEB: BackDoor.IRC.Sdbot.1631)
-