Здравствуйте!
Симантек ругается на огромную рассылку писем из OE. Компьютер "тормозит". Посмотрит, пожалуйста, логи!=)
Здравствуйте!
Симантек ругается на огромную рассылку писем из OE. Компьютер "тормозит". Посмотрит, пожалуйста, логи!=)
Последний раз редактировалось ghostil; 01.07.2008 в 19:02.
Надо же сколько гадости, разве до сих пор не научились что по помойкам не надо лазить с правами админа?
Сейчас напишу лечение.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
да это не я, в том-то и дело! Это мои пользователи, которым руководство не даёт мне возможности сделать ограниченного пользователя!=(
отключить инет и антивирус, выполнить скрипт
в таком зверинце надо ещё выполнить 2 пункт правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\pxgdslro.dll',''); QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe',''); QuarantineFile('C:\DOCUME~1\admin\LOCALS~1\Temp\csrssc.exe',''); QuarantineFile('C:\WINDOWS\System32\WinNt32.dll',''); DelBHO('{72976A08-625C-41C1-AD59-780F96CC2473}'); QuarantineFile('C:\WINDOWS\nldfmtappdm.dll',''); DelBHO('{B5AF0562-94F3-42BD-F434-2604812C797D}'); QuarantineFile('C:\WINDOWS\Temp\gold.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Taf85.sys',''); QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe',''); QuarantineFile('C:\WINDOWS\TEMP\istat.exe',''); QuarantineFile('C:\WINDOWS\system32\jkbi646.exe',''); QuarantineFile('C:\WINDOWS\system32\jkbi534.exe',''); QuarantineFile('C:\WINDOWS\system32\jkbi472.exe',''); QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll',''); QuarantineFile('C:\WINDOWS\system32\djki397g.dll',''); QuarantineFile('C:\WINDOWS\gnowmebk.dll',''); TerminateProcessByName('c:\windows\temp\winlagon.exe'); QuarantineFile('c:\windows\temp\winlagon.exe',''); TerminateProcessByName('c:\windows\system32\jkbi646.exe'); QuarantineFile('c:\windows\system32\jkbi646.exe',''); TerminateProcessByName('c:\windows\system32\jkbi534.exe'); QuarantineFile('c:\windows\system32\jkbi534.exe',''); TerminateProcessByName('c:\windows\system32\jkbi472.exe'); QuarantineFile('c:\windows\system32\jkbi472.exe',''); TerminateProcessByName('c:\windows\temp\istat.exe'); QuarantineFile('c:\windows\temp\istat.exe',''); TerminateProcessByName('c:\documents and settings\admin\ie_updates3r.exe'); QuarantineFile('c:\documents and settings\admin\ie_updates3r.exe',''); TerminateProcessByName('c:\windows\herjek.exe'); QuarantineFile('c:\windows\herjek.exe',''); DeleteFile('c:\windows\herjek.exe'); DeleteFile('c:\documents and settings\admin\ie_updates3r.exe'); DeleteFile('c:\windows\temp\istat.exe'); DeleteFile('c:\windows\system32\jkbi472.exe'); DeleteFile('c:\windows\system32\jkbi534.exe'); DeleteFile('c:\windows\system32\jkbi646.exe'); DeleteFile('c:\windows\temp\winlagon.exe'); DeleteFile('C:\WINDOWS\gnowmebk.dll'); DeleteFile('C:\WINDOWS\System32\WinNt32.dll'); DeleteFile('C:\WINDOWS\system32\djki397g.dll'); DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll'); DeleteFile('C:\WINDOWS\system32\jkbi472.exe'); DeleteFile('C:\WINDOWS\system32\jkbi534.exe'); DeleteFile('C:\WINDOWS\system32\jkbi646.exe'); DeleteFile('C:\WINDOWS\TEMP\istat.exe'); DeleteFile('C:\WINDOWS\TEMP\winlagon.exe'); DeleteFile('C:\WINDOWS\System32\drivers\Taf85.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe'); DeleteFile('C:\WINDOWS\Temp\gold.exe'); DeleteFile('C:\WINDOWS\nldfmtappdm.dll'); DeleteFile('C:\DOCUME~1\admin\LOCALS~1\Temp\csrssc.exe'); DeleteFile('C:\WINDOWS\TEMP\csrssc.exe'); DeleteFile('C:\WINDOWS\pxgdslro.dll'); BC_DeleteSvc('Taf85'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); BC_Activate; RebootWindows(true); end.
карантин прислать, новые логи сделать.
P.S. Можно пойти другим путём-> уменьшать в правах браузер, почтовый клиент и тд. Но поему извращение Хотите я поговорю с начальством ?
Последний раз редактировалось drongo; 26.05.2008 в 12:37.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
да нет, спасибо, буду пытаться собственными силами убеждения! А ещё такой вопрос! У меня перестали запускать все .exe файлы: система предлагает открыть с помощью какой-либо программы AVZ. С этим можно как-то бороться и запустить AVZ?
Переименовать AVZ в 123.com и запустить,выбрать восстановление системы,отметить позицию 1 нажать "Исправить отмеченные проблемы" и перезагрузиться.
спасибо!!!!!
Добавлено через 53 минуты
Cure IT проверил - много чего нашёл и удалил! Закачал карантин, сейчас новые логи сделаю!=)
Последний раз редактировалось ghostil; 26.05.2008 в 13:55. Причина: Добавлено
Всё, что вы сказали, сделал! Вот новые логи.
Последний раз редактировалось ghostil; 01.07.2008 в 19:02.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('tcpsr', 4); SetServiceStart('Taf85', 4); SetServiceStart('Schedule', 4); StopService('Schedule'); QuarantineFile('C:\Documents and Settings\admin\cftmon.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); DeleteFile('C:\WINDOWS\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Taf85.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\Documents and Settings\admin\cftmon.exe'); DeleteService('Taf85'); DeleteService('Schedule'); DeleteService('tcpsr'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
Повторите логи.
Microsoft Most Valuable Professional in Consumer Security
карантин закачал, сейчас логи делаю!=)
Вот новые логи.
Последний раз редактировалось ghostil; 01.07.2008 в 19:02.
Пофиксить
Отключите восстановление системы там хранятся копии зловредов,жалобы есть?Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{32F97D95-40B6-434E-9B21-CA10502C8C6C}: NameServer = 85.255.115.61,85.255.112.113 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113
сейчас сделаю... Жалоб нет!
Уважаемый(ая) ghostil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.