Вирус ограничил права Администратора домена
На работе в доменной сети на некоторых компьютерах учетная запись администратора потеряла права, не могу менять реестр и устанавливать проги (установку Касперского 2010 тоже блокирует).
Подскажите, пожалуйста как быть.
Пс. Переустановка не вариант.
Псс. До глюков было убито немало вирусов.
Последний раз редактировалось KVN1989; 15.09.2009 в 16:29.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пока все правильно делаю?
не-аСообщение от KVN1989
AVZ и другие инструменты нужно запускать с правами администратора.
Добавлено через 43 секунды
Логи переделать.
Последний раз редактировалось light59; 15.09.2009 в 16:38. Причина: Добавлено
Я и так захожу под учетной записью Администратора домена.
Что можно сделать в этой ситуации?
А локальным администратором?
Вот логи из учетной записи локального администратора!
Выполните скрипт в AVZ:
Система перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\RE\BACK\BcK.exe',''); QuarantineFile('C:\RECYCLER\S-51-9-25-3434476501-1644491938-601003312-1214\Lmhgpw.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\Zgmh.exe',''); DeleteFile('C:\WINDOWS\system32\drivers\Zgmh.exe'); DeleteFile('C:\RECYCLER\S-51-9-25-3434476501-1644491938-601003312-1214\Lmhgpw.exe'); DeleteFile('C:\RE\BACK\BcK.exe'); BC_ImportALL; ExecuteSysClean; DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612'); DelCLSID('77BCK2V0-3HKJ-89VV-XAF2-88KL5R9896622'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); BC_QrSvc('autorun'); BC_QrSvc('Isaounpdiie'); BC_Activate; RebootWindows(true); end.
После этого загрузите карантин в соответствии с правилами, и повторите логи.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Вот логи.
Насчет карантина програма показывает что он пуст. Присланное я нашел
в AVZ Пункт Файл-Просмотр папки Infected.
после выполнения скрипта права не востановились.
(пробовал и в режиме локального администратора и в режиме доменного(который сбоит))
Что совсем плохо?
Пс. Из 15 остался только один камп в котором все работает как надо.
Выполните скрипт:
Внимание! Этот скрипт можно применять только к клиентским компьютерам, на которых не сконфигурированы политики! В результате его выполнения все политики будут уничтожены.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\MAD\TRACK\mad.exe',''); DeleteFile('c:\MAD\TRACK\mad.exe'); BC_ImportALL; ExecuteSysClean; DelCLSID('67MAD3M8-3MAD-81AD-MAD6-78OP5G1234521'); ExecuteRepair(6); BC_DeleteSvc('autorun'); BC_DeleteSvc('Isaounpdiie'); BC_Activate; RebootWindows(true); end.
Если полное удаление политик невозможно, откройте AVZ - Файл - Восстановление системы и выберите конкретные операции восстановления в зависимости от симптомов. Строку ExecuteRepair(6); из скрипта, соответственно, нужно будет убрать перед его запуском.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Последний скрипт очень помог и все исправил.
Спасибо всем за помощь.
Пс. Нужны еще логи или что нибудь?
Могу ли я использовать данный скрипт на других машинах с такой же системой?
Нет. У нас нет универсальных скриптов. Снимайте логи с каждой машины и открывайте новую тему по каждой.
Логи повторите.
Вообщем дело обстоит так, я немного нарушил правила форума (начальство нервничает).
Дело было так.
Когда я получил последний скрипт я попробывал его не на той машине с которой писал логи а на трех других (предприятие работает 24/6 и просто не всегда можно занять нужную машину) и на этих машинах скрипт сработал, все просто замечательно!
Но когда я добрался до машины с которой писал логи то скрипт не сработал. Логи все той же машины я переделал и прилогаю к сообщению.
Очень прошу помочь разобраться в чем дело, и на этот раз все буду делать строго по инструкции.
А тут и нет ничего
Попробуйте выгрузить защитное ПО и запустить скрипт восстановления системы №6, после чего перезагрузиться.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\temp\eraseme_17101.exe - Net-Worm.Win32.Kolab.dkg ( DrWEB: Trojan.Packed.2483, BitDefender: Application.Generic.200100, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-UU [Drp] )
- c:\temp\eraseme_25325.exe - Net-Worm.Win32.Kolab.dkg ( DrWEB: Trojan.Packed.2483, BitDefender: Application.Generic.200100, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-UU [Drp] )
- c:\temp\eraseme_31785.exe - Net-Worm.Win32.Kolab.dlw ( DrWEB: BackDoor.IRC.Bot.127, BitDefender: Application.Generic.201775, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen {Other} )
- c:\temp\eraseme_35473.exe - Trojan.Win32.Agent.ctqf ( DrWEB: BackDoor.IRC.Letmein.12, BitDefender: Backdoor.Bot.103721, NOD32: Win32/IRCBot.AOZ trojan, AVAST4: Win32:Trojan-gen {Other} )
- c:\temp\eraseme_42158.exe - Net-Worm.Win32.Kolab.dkg ( DrWEB: Trojan.Packed.2483, BitDefender: Application.Generic.200100, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-UU [Drp] )
- c:\temp\eraseme_45314.exe - Net-Worm.Win32.Kolab.dkg ( DrWEB: Trojan.Packed.2483, BitDefender: Application.Generic.200100, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-UU [Drp] )
- c:\temp\eraseme_45861.exe - Net-Worm.Win32.Kolab.dkg ( DrWEB: Trojan.Packed.2483, BitDefender: Application.Generic.200100, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-UU [Drp] )
- c:\temp\eraseme_51044.exe - Net-Worm.Win32.Kolab.dkg ( DrWEB: Trojan.Packed.2483, BitDefender: Application.Generic.200100, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-UU [Drp] )
- c:\temp\eraseme_66228.exe - Trojan.Win32.Agent.ctqf ( DrWEB: BackDoor.IRC.Letmein.12, BitDefender: Backdoor.Bot.103721, NOD32: Win32/IRCBot.AOZ trojan, AVAST4: Win32:Trojan-gen {Other} )
- c:\temp\eraseme_66236.exe - Net-Worm.Win32.Kolab.dlw ( DrWEB: BackDoor.IRC.Bot.127, BitDefender: Application.Generic.201775, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen {Other} )
- c:\temp\eraseme_72864.exe - Net-Worm.Win32.Kolab.dkg ( DrWEB: Trojan.Packed.2483, BitDefender: Application.Generic.200100, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-UU [Drp] )
- c:\temp\eraseme_78600.exe - Net-Worm.Win32.Kolab.dlw ( DrWEB: BackDoor.IRC.Bot.127, BitDefender: Application.Generic.201775, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen {Other} )
- c:\temp\eraseme_81583.exe - Trojan.Win32.Agent.ctqf ( DrWEB: BackDoor.IRC.Letmein.12, BitDefender: Backdoor.Bot.103721, NOD32: Win32/IRCBot.AOZ trojan, AVAST4: Win32:Trojan-gen {Other} )
- c:\temp\eraseme_86230.exe - Trojan.Win32.Agent.ctqf ( DrWEB: BackDoor.IRC.Letmein.12, BitDefender: Backdoor.Bot.103721, NOD32: Win32/IRCBot.AOZ trojan, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\drivers\winlogon.exe - Net-Worm.Win32.Kolab.dkg ( DrWEB: Trojan.Packed.2483, BitDefender: Application.Generic.200100, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-UU [Drp] )
Уважаемый(ая) KVN1989, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
