Здравствуйте!
Симантек ругается на рассылку сообщений с этого компьютера.
Посмотрите, пожалуйста, логи.
Заранее благодарен.
Здравствуйте!
Симантек ругается на рассылку сообщений с этого компьютера.
Посмотрите, пожалуйста, логи.
Заранее благодарен.
А на выползающих из ПК крокодилов Вы еще не наступаете?
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
- Выполните скриптКод:O4 - HKLM\..\Run: [runservices] D:\WINDOWS\services.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{3D99B046-A7B8-4D3B-82D7-FCEE4B776076}: NameServer = 85.255.115.61,85.255.112.113 O17 - HKLM\System\CCS\Services\Tcpip\..\{6C41AD8F-C212-439B-9D60-37AA195012BD}: NameServer = 85.255.115.61,85.255.112.113 O17 - HKLM\System\CCS\Services\Tcpip\..\{A42CE03E-8B09-4DB9-A9CB-EAA6C1FD2F33}: NameServer = 85.255.115.61,85.255.112.113 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113 O17 - HKLM\System\CS1\Services\Tcpip\..\{3D99B046-A7B8-4D3B-82D7-FCEE4B776076}: NameServer = 85.255.115.61,85.255.112.113 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113 O17 - HKLM\System\CS2\Services\Tcpip\..\{3D99B046-A7B8-4D3B-82D7-FCEE4B776076}: NameServer = 85.255.115.61,85.255.112.113 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('Google Online Services'); StopService('Oua16'); DeleteService('Oua16'); DeleteService('Google Online Services'); TerminateProcessByName('d:\windows\services.exe'); TerminateProcessByName('d:\documents and settings\cbb\ie_updates3r.exe'); RegKeyDel('HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, msvecurity',' '); RegKeyDel('HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, runservices',' '); RegKeyDel('HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System',' '); QuarantineFile('D:\Program Files\Microsoft Common\svchost.exe',''); QuarantineFile('D:\WINDOWS\msvecurity.exe',''); QuarantineFile('D:\WINDOWS\system32\kdwsb.exe',''); QuarantineFile('kdwsb.exe',''); QuarantineFile('D:\WINDOWS\System32\Drivers\Oua16.sys',''); QuarantineFile('D:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('D:\WINDOWS\system32\Drivers\Oua16.sys',''); QuarantineFile('D:\WINDOWS\system32\drivers\mickey32.sys',''); QuarantineFile('D:\WINDOWS\services.exe',''); QuarantineFile('D:\Documents and Settings\CBB\ie_updates3r.exe',''); QuarantineFile('d:\windows\services.exe',''); QuarantineFile('d:\documents and settings\cbb\ie_updates3r.exe',''); DeleteFile('d:\documents and settings\cbb\ie_updates3r.exe'); DeleteFile('d:\windows\services.exe'); DeleteFile('D:\Documents and Settings\CBB\ie_updates3r.exe'); DeleteFile('D:\WINDOWS\services.exe'); DeleteFile('D:\WINDOWS\system32\drivers\mickey32.sys'); DeleteFile('D:\WINDOWS\system32\Drivers\Oua16.sys'); DeleteFile('D:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Oua16.sys'); DeleteFile('D:\WINDOWS\system32\kdwsb.exe'); DeleteFile('kdwsb.exe'); DeleteFile('D:\WINDOWS\msvecurity.exe'); DeleteFile('D:\Program Files\Microsoft Common\svchost.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(7); ExecuteRepair(13); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
хех, сарказм принят =)
Добавлено через 36 секунд
сейчас всё сделаю
Последний раз редактировалось ghostil; 01.07.2008 в 20:34. Причина: Добавлено
Вот новые логи! Прошу посмотреть их, пожалуйста!
Я бы даже сказал больше, постоянный... Но всё связано с тем, что я админю офис маленькой фирмы, руководство которой настолько глупо, что даже не хочет ставить пароли на вход в систему. Поэтому пользователи так часто и заражаются!=(
Я бы сам с удовольствием учил, но в студенты меня уже третий месяц почему-то не берут.
В общем, скоро перестану, я думаю, Вас мучать, поскольку через 2 недели я уволюсь. =)
Но, надеюсь, что в ряды студентов меня, всё-таки, примут! =)
Добавлено через 4 минуты
да, вот ещё какой момент возник, когда я выполнял скрипт - появился синий экран смерти. Я перезагрузился.Ошибка следующая: 7023, источник Service Control Manager. Сообщение такое: Служба "Обозреватель компьютеров" завершена из-за ошибки
Возврат из операции произошел из-за превышения времени ожидания.
Добавлено через 47 секунд
сейчас всё работает нормально. В логах чисто?
Последний раз редактировалось ghostil; 01.07.2008 в 21:11. Причина: Добавлено
Но мы ведь понимаем, что это не Ваши личные компъютеры
Будем надеятьсяНо, надеюсь, что в ряды студентов меня, всё-таки, примут! =)
Ну это уже преувеличение
Пофиксите
- Выполните скриптКод:Unbekannt O4 - HKLM\..\Run: [D:\WINDOWS\system32\kdwsb.exe] D:\WINDOWS\system32\kdwsb.exe
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Oua16'); RegKeyDel('HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, msvecurity',' '); RegKeyDel('HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, D:\WINDOWS\system32\kdwsb.exe',' '); RegKeyDel('HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System',' '); QuarantineFile('D:\WINDOWS\services.exe',''); QuarantineFile('D:\Program Files\Microsoft Common\svchost.exe',''); QuarantineFile('D:\WINDOWS\msvecurity.exe',''); QuarantineFile('D:\WINDOWS\system32\kdwsb.exe',''); QuarantineFile('D:\WINDOWS\System32\Drivers\Oua16.sys',''); QuarantineFile('D:\WINDOWS\system32\drivers\mickey32.sys',''); DeleteFile('D:\WINDOWS\system32\drivers\mickey32.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Oua16.sys'); DeleteFile('D:\WINDOWS\system32\kdwsb.exe'); DeleteFile('D:\WINDOWS\msvecurity.exe'); DeleteFile('D:\Program Files\Microsoft Common\svchost.exe'); DeleteFile('D:\WINDOWS\services.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи по правилам.
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
Последний раз редактировалось Rene-gad; 01.07.2008 в 23:37. Причина: Добавлено
Здравствуйте!
Карантин я загрузил, вот выкладываю логи.
Но возник ряд проблем в момент выполнения скриптов.
После выполнений написанного вами скрипта у компьютера опять появился синий экран смерти.
Я перезагрузил. Выполнил скрипт для п.3.
Затем перезагружаю систему, а на рабочем на столе ни одного ярлыка. Даже панели "Пуск" нет.
В общем, доделал я логи при помощи "Диспетчера задач".
Посмотрите их, пожалуйста.
Вот решил напомнить о себе. =) Помогите, пожалуйста.
Добавлено через 2 часа 13 минут
неужели, действительно, забыли!=(
Добавлено через 54 минуты
Вы мне сегодня не поможете?
Последний раз редактировалось ghostil; 07.07.2008 в 16:33. Причина: Добавлено
В логах все на месте, как будто и не выполняли ничего.
1. Запустите AVZ, выберите Файл - Восстановление системы - п.9 - Выполнить. Перезагрузитесь.
2. С помощью Ice Sword сделайте Force Delete для
D:\WINDOWS\system32\drivers\mickey32.sys
D:\WINDOWS\system32\kdwsb.exe
D:\WINDOWS\services.exe
3. Выполните еще раз скрипт из сообщения 7.
4. Повторите логи.
I am not young enough to know everything...
спасибо большое!
Добавлено через 44 минуты
Выполнил всё, что вы сказали.
Но когда скрипт начинает выполняться опять вылетает синий экран смерти и приходится перезагружаться!
Не подскажете, что тут можно сделать?
Последний раз редактировалось ghostil; 07.07.2008 в 18:18. Причина: Добавлено
Перед запуском скрипта обязательно отключайте антивирус.
Если не поможет, уберите из скрипта две строки после begin:
SearchRootkit(true, true);
SetAVZGuardStatus(True);
и выполните в таком виде.
I am not young enough to know everything...
спасибо, сейчас попробую!
services.exe_ - Trojan-Proxy.Win32.Agent.aqy (свежий)
Trojan-Mailfinder.Win32.Agent.ia
- то, что у Вас есть или было.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Смог я выполнить скрипт и сделал новые логи!
В карантине ничего нет.
Посмотрите логи, пожалуйста.
Все нормально. Последний штрих:
выполните скрипт
Логи можно не повторять.Код:begin RegKeyParamDel( 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'System'); RebootWindows(true); end.
I am not young enough to know everything...
спасибо!!!!=)
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- d:\\program files\\microsoft common\\svchost.exe - Trojan-Mailfinder.Win32.Agent.ia (DrWEB: Win32.HLLW.Autoruner.2634)
- d:\\windows\\services.exe - Trojan-Proxy.Win32.Agent.aqy (DrWEB: Trojan.Packed.573)
Уважаемый(ая) ghostil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.