-
Junior Member
- Вес репутации
- 58
Это серьёзно
Доброго всем времени суток!
Люди, проблема такая:
1. Рассылаю спам ( трафик забит)
2. На машине куча троянов
3. Не могу сделать логи , т.к. машина постоянно перегружается( сделал только лог из HiJackThis
если есть возможность напишите пожалуйста скрипт, чтобы машина не перегружалась
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
2 стандартный скрипт должен выполняться нормально...
-
-
Junior Member
- Вес репутации
- 58
я понимаю, но он просто не успевает, я смог выполнить только из раздела
Файл=> Восстановление системы=> 1, 5 и 10 пункты, сейчас запустил скрипт №2, но не уверен что на него хватит времени и машина опять не перегрузится
-
Сделай просто Файл - "Исследование системы". Зря сам с Восстановлением мудрил.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Вот , смог сделать, только теперь при перезагрузке ещё и папка мои документы открывается, такого раньше не было.
а по поводу восстановления- согласен, но теперь хоть не перегружается
Последний раз редактировалось San614; 12.11.2008 в 14:50.
-
Да, уж. Замечательный набор - ntos, Avast, Symantec. Это просто коммент.
Карантин удали из темы, чтобы мне не пришлось "Замечание" выписывать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
PavelA
Да, уж. Замечательный набор - ntos, Avast, Symantec. Это просто коммент.
Карантин удали из темы, чтобы мне не пришлось "Замечание" выписывать.
ntos- про это вообще ничего не знаю, даже не знаю кто ставил
Avast- это я ставил сегодня
Symantec- это корпоративный антивирус, пропускает всё, может просто неправильно настроен, ставили админы, но тех которые ставили уже давно нет, а у новых нет данных, войти в программу не удается - пароль не соответсятвует
-
У меня сегодня проблемы с Инетом, так что скрипт написать тяжко.
Ntos - малваре из семейства Zlob по кваллификации Касперского, может воровать пароли.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{D0A7AE29-5A9D-419D-84CD-233098D57135}');
QuarantineFile('C:\WINDOWS\system32\tvsm.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\msansspc.dll','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('tcpsr');
DeleteService('ati8xdxx');
DeleteService('ati6tyxx');
DeleteService('ati6quxx');
DeleteService('ati6inxx');
DeleteService('ati5uaxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati5afxx.sys','');
DeleteService('ati5afxx');
QuarantineFile('C:\WINDOWS\system32\drivers\pqroruur.sys','');
QuarantineFile('c:\windows\system32\rs32net.exe','');
QuarantineFile('c:\windows\msauc.exe','');
DeleteFile('c:\windows\system32\rs32net.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5afxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\tvsm.dll');
BC_ImportAll;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('ati8xdxx');
BC_DeleteSvc('ati6tyxx');
BC_DeleteSvc('ati6quxx');
BC_DeleteSvc('ati6inxx');
BC_DeleteSvc('ati5uaxx');
BC_DeleteSvc('ati5afxx');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать новые логи.
Загрузить карантин через ссылку вверху темы.
Последний раз редактировалось PavelA; 11.11.2008 в 13:25.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Скрипт выполнил
Карантин выслал
Логи сделал
Последний раз редактировалось San614; 12.11.2008 в 14:50.
-
Были удалены:
msauc.exe_ - Trojan-Downloader.Win32.Exchanger.anm - свежий.
rs32net.exe_ - Trojan.Win32.Agent.amov по Касперскому.
Добавлено через 1 минуту
Профиксить:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit .exe
Далее разобраться с каким а/вирусом будете жить.
Пароли все желательно сменить.
Последний раз редактировалось PavelA; 12.11.2008 в 11:18.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Спасибо, огромное!
Пофиксил, больше ничего не надо делать?
-
Еще будет надо доудалять остатки.
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('ati8xdxx');
BC_DeleteSvc('ati6tyxx');
BC_DeleteSvc('ati6quxx');
BC_DeleteSvc('ati5uaxx');
BC_DeleteSvc('ati4wbxx');
BC_DeleteSvc('ati3yexx');
BC_DeleteSvc('ati3dixx');
BC_DeleteSvc('ati2txxx');
BC_DeleteSvc('ati2kpxx');
BC_Activate;
RebootWindows(true);
end.
Сделать заново логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Повторяю логи, скрипт выполнил
Последний раз редактировалось San614; 12.11.2008 в 14:50.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msansspc.dll','');
DeleteService('ati6inxx');
DeleteService('ati1xcxx');
DeleteService('WmdmPmSNMSDTC');
QuarantineFile('C:\WINDOWS\system32\wpv2780.cpx','');
DeleteFile('C:\WINDOWS\system32\wpv2780.cpx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1xcxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6inxx.sys');
DeleteFile('C:\WINDOWS\system32\msansspc.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('ati6inxx');
BC_DeleteSvc('ati1xcxx');
BC_DeleteSvc('WmdmPmSNMSDTC');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 58
Карантин закачал, скрипт выполнил, логи выслал
Последний раз редактировалось San614; 12.11.2008 в 14:50.
-
выполните скрипт
Код:
begin
QuarantineFile('C:\WINDOWS\system32\rc\winvnc.exe','');
DeleteFile('msansspc.dll');
ExecuteSysClean;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 58
карантин прислал по ссылке вверху темы
скрипт выполнил, логи выслал
Последний раз редактировалось San614; 12.11.2008 в 14:50.
-
Так лечиться можно до бесконечности. Почему "Восст. системы" включено?
Карантин посмотрю.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
PavelA
Так лечиться можно до бесконечности. Почему "Восст. системы" включено?
Карантин посмотрю.
Голова дырявая, забыл! сейчас отключу
теперь что? все скрипты заново выполнить?
-
msansspc.dll - Trojan.Win32.Agent.amgt по версии Вирустотал.
Да, нет все скрипты не надо. Логи просто после отключения Восстановления сделай.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-