Показано с 1 по 15 из 15.

Вирус ограничил права Администратора домена (заявка № 54826)

  1. #1
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    10
    Вес репутации
    27

    Exclamation Вирус ограничил права Администратора домена

    На работе в доменной сети на некоторых компьютерах учетная запись администратора потеряла права, не могу менять реестр и устанавливать проги (установку Касперского 2010 тоже блокирует).
    Подскажите, пожалуйста как быть.
    Пс. Переустановка не вариант.
    Псс. До глюков было убито немало вирусов.
    Вложения Вложения
    Последний раз редактировалось KVN1989; 15.09.2009 в 16:29.

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    10
    Вес репутации
    27
    Пока все правильно делаю?

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Цитата Сообщение от KVN1989 Посмотреть сообщение
    Пока все правильно делаю?
    не-а

    AVZ и другие инструменты нужно запускать с правами администратора.

    Добавлено через 43 секунды

    Логи переделать.
    Последний раз редактировалось light59; 15.09.2009 в 16:38. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    10
    Вес репутации
    27
    Я и так захожу под учетной записью Администратора домена.
    Что можно сделать в этой ситуации?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    А локальным администратором?

  7. #6
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    10
    Вес репутации
    27
    Вот логи из учетной записи локального администратора!
    Вложения Вложения

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1811
    Выполните скрипт в AVZ:

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\RE\BACK\BcK.exe','');
     QuarantineFile('C:\RECYCLER\S-51-9-25-3434476501-1644491938-601003312-1214\Lmhgpw.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\Zgmh.exe','');
     DeleteFile('C:\WINDOWS\system32\drivers\Zgmh.exe');
     DeleteFile('C:\RECYCLER\S-51-9-25-3434476501-1644491938-601003312-1214\Lmhgpw.exe');
     DeleteFile('C:\RE\BACK\BcK.exe');
     BC_ImportALL;
     ExecuteSysClean;
     DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
     DelCLSID('77BCK2V0-3HKJ-89VV-XAF2-88KL5R9896622');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     BC_QrSvc('autorun');
     BC_QrSvc('Isaounpdiie');
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.

    После этого загрузите карантин в соответствии с правилами, и повторите логи.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  9. #8
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    10
    Вес репутации
    27
    Вот логи.
    Насчет карантина програма показывает что он пуст. Присланное я нашел
    в AVZ Пункт Файл-Просмотр папки Infected.
    после выполнения скрипта права не востановились.
    (пробовал и в режиме локального администратора и в режиме доменного(который сбоит))
    Вложения Вложения

  10. #9
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    10
    Вес репутации
    27
    Что совсем плохо?
    Пс. Из 15 остался только один камп в котором все работает как надо.

  11. #10
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1811
    Выполните скрипт:

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('c:\MAD\TRACK\mad.exe','');
     DeleteFile('c:\MAD\TRACK\mad.exe');
     BC_ImportALL;
     ExecuteSysClean;
     DelCLSID('67MAD3M8-3MAD-81AD-MAD6-78OP5G1234521');
     ExecuteRepair(6);
     BC_DeleteSvc('autorun');
     BC_DeleteSvc('Isaounpdiie');
     BC_Activate;
     RebootWindows(true);
    end.
    Внимание! Этот скрипт можно применять только к клиентским компьютерам, на которых не сконфигурированы политики! В результате его выполнения все политики будут уничтожены.

    Если полное удаление политик невозможно, откройте AVZ - Файл - Восстановление системы и выберите конкретные операции восстановления в зависимости от симптомов. Строку ExecuteRepair(6); из скрипта, соответственно, нужно будет убрать перед его запуском.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  12. #11
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    10
    Вес репутации
    27
    Последний скрипт очень помог и все исправил.
    Спасибо всем за помощь.
    Пс. Нужны еще логи или что нибудь?
    Могу ли я использовать данный скрипт на других машинах с такой же системой?

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Цитата Сообщение от KVN1989 Посмотреть сообщение
    Могу ли я использовать данный скрипт на других машинах с такой же системой?
    Нет. У нас нет универсальных скриптов. Снимайте логи с каждой машины и открывайте новую тему по каждой.

    Логи повторите.

  14. #13
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    10
    Вес репутации
    27
    Вообщем дело обстоит так, я немного нарушил правила форума (начальство нервничает).
    Дело было так.
    Когда я получил последний скрипт я попробывал его не на той машине с которой писал логи а на трех других (предприятие работает 24/6 и просто не всегда можно занять нужную машину) и на этих машинах скрипт сработал, все просто замечательно!
    Но когда я добрался до машины с которой писал логи то скрипт не сработал. Логи все той же машины я переделал и прилогаю к сообщению.
    Очень прошу помочь разобраться в чем дело, и на этот раз все буду делать строго по инструкции.
    Вложения Вложения

  15. #14
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1811
    А тут и нет ничего

    Попробуйте выгрузить защитное ПО и запустить скрипт восстановления системы №6, после чего перезагрузиться.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,529
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\temp\eraseme_17101.exe - Net-Worm.Win32.Kolab.dkg ( DrWEB: Trojan.Packed.2483, BitDefender: Application.Generic.200100, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-UU [Drp] )
      2. c:\temp\eraseme_25325.exe - Net-Worm.Win32.Kolab.dkg ( DrWEB: Trojan.Packed.2483, BitDefender: Application.Generic.200100, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-UU [Drp] )
      3. c:\temp\eraseme_31785.exe - Net-Worm.Win32.Kolab.dlw ( DrWEB: BackDoor.IRC.Bot.127, BitDefender: Application.Generic.201775, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen {Other} )
      4. c:\temp\eraseme_35473.exe - Trojan.Win32.Agent.ctqf ( DrWEB: BackDoor.IRC.Letmein.12, BitDefender: Backdoor.Bot.103721, NOD32: Win32/IRCBot.AOZ trojan, AVAST4: Win32:Trojan-gen {Other} )
      5. c:\temp\eraseme_42158.exe - Net-Worm.Win32.Kolab.dkg ( DrWEB: Trojan.Packed.2483, BitDefender: Application.Generic.200100, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-UU [Drp] )
      6. c:\temp\eraseme_45314.exe - Net-Worm.Win32.Kolab.dkg ( DrWEB: Trojan.Packed.2483, BitDefender: Application.Generic.200100, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-UU [Drp] )
      7. c:\temp\eraseme_45861.exe - Net-Worm.Win32.Kolab.dkg ( DrWEB: Trojan.Packed.2483, BitDefender: Application.Generic.200100, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-UU [Drp] )
      8. c:\temp\eraseme_51044.exe - Net-Worm.Win32.Kolab.dkg ( DrWEB: Trojan.Packed.2483, BitDefender: Application.Generic.200100, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-UU [Drp] )
      9. c:\temp\eraseme_66228.exe - Trojan.Win32.Agent.ctqf ( DrWEB: BackDoor.IRC.Letmein.12, BitDefender: Backdoor.Bot.103721, NOD32: Win32/IRCBot.AOZ trojan, AVAST4: Win32:Trojan-gen {Other} )
      10. c:\temp\eraseme_66236.exe - Net-Worm.Win32.Kolab.dlw ( DrWEB: BackDoor.IRC.Bot.127, BitDefender: Application.Generic.201775, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen {Other} )
      11. c:\temp\eraseme_72864.exe - Net-Worm.Win32.Kolab.dkg ( DrWEB: Trojan.Packed.2483, BitDefender: Application.Generic.200100, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-UU [Drp] )
      12. c:\temp\eraseme_78600.exe - Net-Worm.Win32.Kolab.dlw ( DrWEB: BackDoor.IRC.Bot.127, BitDefender: Application.Generic.201775, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen {Other} )
      13. c:\temp\eraseme_81583.exe - Trojan.Win32.Agent.ctqf ( DrWEB: BackDoor.IRC.Letmein.12, BitDefender: Backdoor.Bot.103721, NOD32: Win32/IRCBot.AOZ trojan, AVAST4: Win32:Trojan-gen {Other} )
      14. c:\temp\eraseme_86230.exe - Trojan.Win32.Agent.ctqf ( DrWEB: BackDoor.IRC.Letmein.12, BitDefender: Backdoor.Bot.103721, NOD32: Win32/IRCBot.AOZ trojan, AVAST4: Win32:Trojan-gen {Other} )
      15. c:\windows\system32\drivers\winlogon.exe - Net-Worm.Win32.Kolab.dkg ( DrWEB: Trojan.Packed.2483, BitDefender: Application.Generic.200100, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-UU [Drp] )


  • Уважаемый(ая) KVN1989, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ограничены права администратора (2)
      От Марат9 в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 11.11.2010, 17:05
    2. Ответов: 3
      Последнее сообщение: 22.06.2010, 19:37
    3. Вирус блокировал права администратора!
      От Letych в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 04.10.2009, 12:11
    4. ограничены права администратора
      От D060606 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 27.04.2009, 17:23
    5. Ответов: 3
      Последнее сообщение: 15.08.2008, 16:16

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00257 seconds with 23 queries