Здравствуйте, УВАЖАЕМЫЕ!
Помогите пожалуйста разобраться с этой заразой...После лечения Доктором Вебом (удаление) вирус появляется после перезагрузки ...
Здравствуйте, УВАЖАЕМЫЕ!
Помогите пожалуйста разобраться с этой заразой...После лечения Доктором Вебом (удаление) вирус появляется после перезагрузки ...
Последний раз редактировалось PADRE; 16.04.2008 в 13:59.
1.В avz выполнить скрипт:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('%WinDir%\Temp\startdrv.exe',''); QuarantineFile('%Windir%\system32\drivers\runtime.sys',''); QuarantineFile('%Windir%\system32\drivers\runtime2.sys',''); QuarantineFile('%Windir%\system32\drivers\ip6fw.sys',''); DeleteFile('%Windir%\Temp\startdrv.exe'); DeleteFile('%Windir%\system32\drivers\runtime2.sys'); DeleteFile('%Windir%\system32\drivers\runtime.sys'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); QuarantineFile('C:\WINDOWS\csrss.exe',''); DeleteFile('C:\WINDOWS\csrss.exe'); QuarantineFile('C:\WINDOWS\system32\svch6j4.dll',' '); DeleteFile('C:\WINDOWS\system32\svch6j4.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2.Выслать карантин согласно приложению 3 правил
Добавлено через 6 минут
После перезагрузки Пофиксить в HiJackThis
И повторите логиКод:O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe O20 - AppInit_DLLs: C:\WINDOWS\system32\svch6j4.dll
Последний раз редактировалось zerocorporated; 19.11.2007 в 14:25. Причина: Добавлено
Вот это сами устаналивали:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Если нет, то надо профиксить.
@zerocorporated Лучше разбивать на два скрипта: первый для удаления runtime & Co, второй для всех остальных. runtime & Co иногда вешают БСОД на SetAVZGuardStatus(True);
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Сделал всё как Вы написали - выполнил скрипт, но профиксить
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\svch6j4.dll
не смог, так как этих позиций в HiJackThis
не было...а это
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
профиксил. Проверяю Вебом - опять находит РоутКит. Может нужно еще что то подправить...Высылаю логи и карантин.
P.S.После перезагруки (скипта) винда выдала "explorer.exe - обнаружена ошибка" и черный экран...После резета вроде загрузилась...Помогите пожалуйста...
Последний раз редактировалось PADRE; 16.04.2008 в 13:58.
пофиксите ...
выполните скрипт...Код:O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
повторите логи ...Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys '); BC_DeleteSvc('ip6fw'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделал всё как Вы написали. Высылаю логи...посмотрите пожалуйста как там и что...
Последний раз редактировалось PADRE; 16.04.2008 в 13:58.
Все чисто. Можно пофиксить строчку:
Посмотрите, что из этого списка вам нужно:Код:O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Лишнее отключим.Код:>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
Можно оставить
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
а остальное можно отключить...
Отключаем:
Код:begin SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
СПАСИБО ВАМ ОГРОМНОЕ!!!
Уважаемый(ая) PADRE, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.