-
Junior Member
- Вес репутации
- 58
Вирус блокирует запуск AVZ и HiJackThis
И снова здравствуйте!
Помогите, пожалуйста, летит траффик , провайдер говорит - качают с торрента. Проверил, нет у нас клиентов. При попытке сделать логи AVZ и HiJackThis не запускаются. Почитал форум, взял AVZ у хелпера ГРИША с запуском под ДОС. Хайджек так и не запустить. Сетевое подключение программно не отключается, занято "Другим процессом..." отключал для логов физическим отключением кабеля.
Пожалуйста, помогите!
Последний раз редактировалось Склеротик; 13.06.2011 в 21:25.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('seclogonCryptSvc');
TerminateProcessByName('c:\docume~1\e448~1\locals~1\temp\init.exe');
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip3.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip2.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip1.dll','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\WINDOWS\system32\1049l.exe','');
QuarantineFile('c:\docume~1\e448~1\locals~1\temp\init.exe','');
DeleteFile('c:\docume~1\e448~1\locals~1\temp\init.exe');
DeleteFile('C:\WINDOWS\system32\1049l.exe');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('C:\WINDOWS\system32\MsSip1.dll');
DeleteFile('C:\WINDOWS\system32\MsSip2.dll');
DeleteFile('C:\WINDOWS\system32\MsSip3.dll');
DeleteFile('digeste.dll');
DeleteService('seclogonCryptSvc');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('seclogonCryptSvc');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
Все сделал, карантин выслал, но обычный АВЗ и Хайджек не запускаются.
Последний раз редактировалось Склеротик; 13.06.2011 в 21:25.
-
Выполнить скрипт:
Код:
begin
ExecuteRepair(9);
RebootWindows(true);
end.
профиксить:
Код:
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
Попробовать поработать нормальным AVZ
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Все выполнил. АВЗ и Хайджек заработали в штатном режиме!
Просмотрите, пожалуйста, логи.
Последний раз редактировалось Склеротик; 13.06.2011 в 21:25.
-
Пуск - выполнить - sc delete Wmspsei. После этого повторить лог Хиджака.
Добавлено через 1 минуту
Вот с этим всем надо разобраться:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Последний раз редактировалось PavelA; 03.04.2009 в 15:33.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Склеротик; 13.06.2011 в 21:25.
-
Выполнить:
Код:
begin
BC_DeleteSvc('Wmspsei');
BC_Activate;
ReboorWindows(true);
end.
Повторить лог Хиджака.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
PavelA
Выполнить:
Повторить лог Хиджака.
Поправил скрипт на RebootWindows т.к. видимо опечатка.
Выполнил.
Свежий лог Хайджека.
По прежнему невозможно отключить сетевое подключение:
" Невозможно отключить подключение в данный момент. Возможно, данное подключение использует один из протоколов, не поддерживающих "Plug&Play", либо оно было инициировано другим пользователем или системной учетной записью"
Указанные Вами службы поотрубил, а как отключить удаленных пользователей и компания "( Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику)" я не знаю.
Последний раз редактировалось Склеротик; 13.06.2011 в 21:25.
-
195.177.122.1,195.177.123.1 - это Ваши настройки?
По поводу служб: не переборщите с отключением.
Скрипт для отключения компании:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Это DNS адреса, которые нам провайдер дал (Вест Колл)
Компанию отключил...
А в логе все впорядке было?
-
Я в логе больше ничего плохого не увидел.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\e448~1\locals~1\temp\init.exe - Email-Worm.Win32.Joleee.jx ( BitDefender: Trojan.Waledac.Gen.1 )
- c:\windows\system32\1049l.exe - Email-Worm.Win32.Iksmas.akl ( BitDefender: Trojan.Waledac.Gen.1 )
-