-
Junior Member
- Вес репутации
- 58
Компьютер заражен? или нет...
ОС Windows 2003 r2 ee sp2.
По истечении некоторого времени работы перезагружается. При загрузке очень медленно грузится (может минут 40).Удалось создать логи только скриптом лечения/карантина. При создании скриптом сбора информации зависает на smss.exe. Hijack This виснет на O20 AppInt_DLLsRegistry value...
Логи сделал в безопасном режиме.
Последний раз редактировалось alivan; 19.08.2009 в 22:17.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\autorun.inf','');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи в нормальном режиме
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
Карантин закачал. К сожалению, не могу сделать в нормальном режиме второй лог avz и hijackthis. Первый прикрепил. Может сделать в безопасном режиме?
Последний раз редактировалось alivan; 19.08.2009 в 22:17.
-
Junior Member
- Вес репутации
- 58
Нашел что мешало созданию логов. Логи созданы в нормальном режиме.
Последний раз редактировалось alivan; 19.08.2009 в 22:17.
-
Сообщение от
alivan
Нашел что мешало созданию логов..
А что мешало, обновить базы АВЗ, тоже нашли ?
Проверьте ещё содержимое доверенных зон в установках интернета: там у Вас чего только нет...
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('nqojrd');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
DeleteService('nqojrd');
DeleteFileMask('C:\WINDOWS\system32','*.tmp',false);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('nqojrd');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Сделайте лог GMER
-
-
Junior Member
- Вес репутации
- 58
Карантин закачал. Лог gmer прилагаю. Базы не обновил по глупости.
Последний раз редактировалось alivan; 19.08.2009 в 22:17.
-
Сообщение от
alivan
Лог gmer прилагаю.
Вы на кнопку SCAN нажимали?
-
-
Junior Member
- Вес репутации
- 58
Конечно. Повторил сканирование. Прикрепил скрины. Первый скрин при запуске gmerа.
Последний раз редактировалось alivan; 19.08.2009 в 22:17.
-
Терминальный сервер, понятно...
-
-
Junior Member
- Вес репутации
- 58
-
Сообщение от
alivan
Вобщем-то да.
вобщем -то так не годится ....
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
V_Bond
вобщем -то так не годится ....
В каком смысле?
-
Сообщение от
alivan
В каком смысле?
В смысле: логи нужны из локальной сессии.
-
-
Junior Member
- Вес репутации
- 58
Логи из локальной сессии. Непосредственно на серевере делаю под Администратором. Я имел ввиду, что поднят терминальный сервер.
-
Сообщение от
alivan
Логи из локальной сессии.
Gmer тоже?
-
-
Junior Member
- Вес репутации
- 58
-
Сообщение от
alivan
GMER тоже.
OK, сделайте повторные логи АВЗ + Hijackthis, может, что Гмер на серваках тоже свои особенности имеет.
-
-
Junior Member
- Вес репутации
- 58
Новые логи.
С логами все в порядке?
Последний раз редактировалось alivan; 18.08.2009 в 13:57.
-
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('vsqrcjl');
BC_DeleteSvc('ymkrebof');
BC_Activate;
RebootWindows(true);
end.
Это только надводная часть айсберга, подводную можно увидеть только через ГМЕР, а как мне удалось дочитаться - на серваках он не работает.
The latest version of GMER 1.0.15.15011
GMER runs only on Windows NT/W2K/XP/VISTA
Попробуйте этим тулом лог сделать: http://rootrepeal.googlepages.com/
Если последняя версия не запустися - берите предыдущую и т.д.
Последний раз редактировалось Rene-gad; 30.07.2009 в 20:37.
-
-
а как мне удалось дочитаться - на серваках он не работает.
работает , работает ....
-