-
Junior Member
- Вес репутации
- 58
Фейковый центр обпеспечения безопасности и руткит
Добрый день, Товарищи! Возникла следующая проблема:
На компе нарисовался фейковый центр обеспечения безпасности, я нашел как его обезвредить, удалил, хотел провести проверки КьрИтом, но при его запуске винда в ресет уходит, Autoruns не запускается, безопасный режим не работает, Avira не функционирует. Заранее благодарен за помощь
Последний раз редактировалось Synthetic_God; 03.12.2009 в 09:14.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\kbwhdxq.dll');
QuarantineFile('C:\WINDOWS\system32\kbwhdxq.dll','');
DeleteService('srwsvc');
SetServiceStart('srwsvc', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\Regview.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\dllview.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\srwsvc.sys','');
QuarantineFile('srwsvc.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\srwsvc.sys');
DeleteFile('srwsvc.sys');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0KAZTSAP\test[2].exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Прислать новые логи.
Загрузить карантин.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
готово
а безопасный режим уже должен работать? а то он не работает)
Последний раз редактировалось Synthetic_God; 03.12.2009 в 09:14.
-
Таблетку №10 "Восст. системы" из AVZ примените для безопасного режима.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
а остальное как? будут скрипты еще?
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Regview Controler', 4);
SetServiceStart('dllview Controler', 4);
DeleteFile('C:\WINDOWS\system32\drivers\dllview.exe');
DeleteFile('C:\WINDOWS\system32\drivers\Regview.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать заново логи после перезагрузки.
Было:
Backdoor.Win32.SdBot.lop
Trojan-Downloader.Win32.Kido.g
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Synthetic_God; 03.12.2009 в 09:14.
-
Код:
begin
BC_DeleteSvc('Regview Controler');
BC_DeleteSvc('dllview Controler');
BC_Activate;
RebootWindows(true);
end.
Лог по станд. скрипту №2 сделай.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Synthetic_God; 03.12.2009 в 09:14.
-
вроде нормально, теперь куритом и авптул пройтись для успокоения души
из этого:
Код:
# Оптимизация - отключить службу TermService (Службы терминалов)
# Оптимизация - отключить службу SSDPSRV (Служба обнаружения SSDP)
# Оптимизация - отключить службу Alerter (Оповещатель)
# Оптимизация - отключить службу Schedule (Планировщик заданий)
# Оптимизация - отключить службу mnmsrvc (NetMeeting Remote Desktop Sharing)
# Оптимизация - отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
# Оптимизация - безопасность - отключить автозапуск программ с CD
# Оптимизация - безопасность - отключить административный доступ к локальным дискам
# Безопасность: IE - запретить автоматические запросы элементов управления ActiveX
что вам надо?
виндоус без всего это у меня прекрасно живёт.
Ну и чтобы не заражаться впредь:
http://virusinfo.info/showthread.php?t=30339
-
-
Все чисто!! При желании можно включить "Восст. системы"
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
спасибо, ребят)
премного благодарен)
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\localservice\local settings\temporary internet files\content.ie5\0kaztsap\test[2].exe - Trojan.Win32.Agent.ccpo ( DrWEB: BackDoor.IRC.Sdbot.4751 )
- c:\windows\system32\drivers\regview.exe - Backdoor.Win32.SdBot.lop ( DrWEB: BackDoor.IRC.Sdbot.4799 )
- c:\windows\system32\kbwhdxq.dll - Trojan-Downloader.Win32.Kido.g ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )
-