Junior Member
Вес репутации
60
Помогите победить ацкий вирус
DRWeb находит его постоянно в файле smtpdrv.sys. Никакое лечение/удаление/помещение в карантин не помогают. Пробовал Аваст и DRWeb. Помогите, плиз, вылечить, логи прилагаю. Вирус проявляет себя так: при неактивности сети минут 5 - прекращается доступ в интернет. Приходится перелогиниваться.
Заранее спасибо
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('smtpdrv');
SetServiceStart('smtpdrv', 4);
StopService('Aeg14');
SetServiceStart('Aeg14', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Aeg14.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Aeg14.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Aeg14');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
60
Сделал, высылаю файл
-----------------------
Файл сохранён как 080118_175128_virus_47913b80f113e.zip
Размер файла 38022
MD5 d7b937e482126379fcce0bed9547abb8
Последний раз редактировалось pig; 19.01.2008 в 02:52 .
Причина: Убрал и перезалил карантин
Junior Member
Вес репутации
60
Высылаю новые логи. Вирус вроде как больше не обнаруживается. Если вы это подтвердите, то буду
Вложения
Чисто. Что из этого не нужно?
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Junior Member
Вес репутации
60
Я в этом не сильно силен, но скорее всего нужно только это:
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
Уверены что административный доступ нужен? Тут имеется в виду административный доступ к Вашим дискам из локалки, а так это не нужно. В-общем, выделил строчку, за это отвечающую, цветом - смотрите сами... можете убрать
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
Junior Member
Вес репутации
60
Да, действительно, в таком виде административный доступ мне не нужен. Строчку, выделенную красным цветом, я убрал. Скрипт выполнил.
Всем огромное спасибо.
Если он не нужен - то строчку наоборот нужно было оставить....
Тогда доделаем:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RebootWindows(true);
end.
Извиняюсь, видимо плохо объяснил
Junior Member
Вес репутации
60
Готово
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 3 В ходе лечения вредоносные программы в карантинах не обнаружены