помогите выгнать чертей

**aleex17** · 14.01.2008, 22:06

C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe скопирован в карантин
от просмоторщика чото других никак не находит

Добавлено через 4 минуты

да самое интересное что ставишь напротив него птичку
жмешь добавить в карантин
в него заходишь а там пусто

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 14.01.2008, 22:21

ок значит в базе безопасных .... давайте новые логи ...

**aleex17** · 14.01.2008, 23:05

новый лог

**V_Bond** · 14.01.2008, 23:40

выполнить скрипт ...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 StopService('Myc23');
 QuarantineFile('C:\WINDOWS\System32\drivers\Myc23.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\Myc23.sys');
 BC_DeleteSvc('Myc23');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите лог ....

**aleex17** · 15.01.2008, 17:47

после запуска кода происходит перегрузка
захожу в карантин а он пустой
какие дальнейшие действия

**V_Bond** · 15.01.2008, 17:50

давайте новые логи .... посмотрим удалось ли справиться со зловредом ...

**aleex17** · 15.01.2008, 18:00

Перестал работать e браузер,внизу справа заполняется зеленая полоса полностью и браузер виснет,сейчас пользуюсь мозилой но надеюсь востановить internet explorer c вашей помощью.

**aleex17** · 15.01.2008, 18:22

**V_Bond** · 15.01.2008, 18:29

в логе ничего зловредного ....
надеюсь проблем больше нет ... ?
что из этого используется ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

**Макcим** · 15.01.2008, 18:31

aleex17, не вводите в заблуждение хелперов, создавая одинаковые темы.

**aleex17** · 15.01.2008, 18:42

Сообщение от V_Bond

в логе ничего зловредного ....
надеюсь проблем больше нет ... ?
что из этого используется ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

просто комп стоит даже не в сетке подкдючен к адсл
не играю просто для работы
как че из этого выключить не знаю

Добавлено через 1 минуту

Сообщение от Maxim

aleex17, не вводите в заблуждение хелперов, создавая одинаковые темы.

тема совсем другая и другой комп
просто под этим же логином зашел
ПРОСЬБА ВОСТАНОВИТЬ СОЗДАННУЮ МНОЙ СЕГОДНЯ ТЕМУ

**drongo** · 15.01.2008, 18:48

создай заново- надо новые логи от другой системы там же .

Добавлено через 3 минуты

в логе есть линки , нажмёшь и получиться:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

если один комп, то по идее всё можно отключить.

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox это позволяeт делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

**Макcим** · 15.01.2008, 18:51

Сообщение от aleex17

тема совсем другая и другой комп
просто под этим же логином зашел
ПРОСЬБА ВОСТАНОВИТЬ СОЗДАННУЮ МНОЙ СЕГОДНЯ ТЕМУ

Так надо об этом сообщать и прикладывать логи.

**aleex17** · 29.01.2008, 18:34

помогите убить зверей
карантин ща выложу

**V_Bond** · 29.01.2008, 20:07

выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\WINDOWS\System32\KernelDrv.exe','');
 QuarantineFile('D:\WINDOWS\system32\mmssyziyz.dll','');
 QuarantineFile('D:\WINDOWS\system32\mswmsys.dll','');
 QuarantineFile('D:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('ovrscn.dll','');
 QuarantineFile('D:\WINDOWS\system32\ovrscn.sys','');
 QuarantineFile('D:\WINDOWS\system32\ovwscn.sys','');
 QuarantineFile('D:\WINDOWS\System32\lanmandrv.sys','');
 QuarantineFile('d:\windows\system32\lanmanwrk.exe','');
 DeleteFile('d:\windows\system32\lanmanwrk.exe');
 DeleteFile('D:\WINDOWS\System32\lanmandrv.sys');
 DeleteFile('D:\WINDOWS\system32\ovwscn.sys');
 DeleteFile('D:\WINDOWS\system32\ovrscn.sys');
 DeleteFile('ovrscn.dll');
 DeleteFile('D:\WINDOWS\system32\ntos.exe');
 DeleteFile('D:\WINDOWS\system32\mmssyziyz.dll');
 DeleteFile('D:\WINDOWS\System32\KernelDrv.exe');
 BC_DeleteSvc('ovrscn');
 BC_DeleteSvc('ovwscn');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
сделайте полный коплект логов ...