-
Junior Member
- Вес репутации
- 51
постоянная подмена диспетчера задачи
Что тут собственно объяснять? постоянно пишет при сканирование, что диспетчер задач подменен, по удалял все подозрительные файлы которые нашел AVZ, но все равно продолжает находить левый диспетчер задач.
логи прилагаются!
ipfw.sys это ipfirewall
drvmail.dll - это процесс для видео наблюдения
cmdow.exe - это процесс скрывающий видимое окно bat/cmd файлов
Помогите пожалуйста!
Последний раз редактировалось Никита Соловьев; 08.09.2010 в 18:16.
Причина: Удалён карантин
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\Base\ftp_get.cmd','');
QuarantineFile('D:\Base\ObOd\ExtForms\Otch_smen.cmd','');
QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\arh1.bat','');
QuarantineFile('C:\Documents and Settings\User\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\User\Application Data\ltzqai.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-4014497647-5353757071-242629698-6671\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-4014497647-5353757071-242629698-6671\syscr.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\arh1.bat - файл знаком Вам?
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
Olejah
- ПК от интернета/локалки.
отключить от инета не могу, потому что этот комп я лечу удаленно
Сообщение от
Olejah
ftp_get.cmd
Otch_smen.cmd
arh1.bat
эти файлы все знакомы
-
Скрипт выполнен? Карантин отослан?
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
Olejah
Скрипт выполнен? Карантин отослан?
все скрипты выполнен, карантин прикрепил к первому моему сообщению
-
А кто говорил карантин прикреплять к сообщению? было написано так -
Сообщение от
Olejah
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
Olejah
А кто говорил карантин прикреплять к сообщению?
извиняюсь. Сделал как надо
Файл сохранён как: 100908_182430_quarantine_4c879c9e92bd9.zip
Размер файла: 84939
MD5: 3ea5012916963c1388fed6f8ecf8aeed
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\linkdel.cmd');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
Olejah
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\linkdel.cmd');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Повторите логи
Тему можно закрывать
После выполнения скрипта, сеть увы не поднялась и повторные логи не смогу сделать. Прийдеться ехать в командировку.
-
Прошу прощения, была моя ошибка. Сделайте так - программа АВЗ - Файл - Просмотр карантина, Отметьте галкой файл C:\WINDOWS\system32\linkdel.cmd и нажмите восстановить + выпоните скрипт в АВЗ -
Код:
begin
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel','');
RebootWindows(true);
end.
- Компьютер перезагрузится, отпишитесь.
Последний раз редактировалось olejah; 08.09.2010 в 20:13.
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
Olejah
Прошу прощения, была моя ошибка. Сделайте так - программа АВЗ - Файл - Просмотр карантина, Отметьте галкой файл
C:\WINDOWS\system32\linkdel.cmd и нажмите восстановить + выпоните скрипт в АВЗ -
Код:
begin
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel');
RebootWindows(true);
end.
- Компьютер перезагрузится, отпишитесь.
легко сказать/написать, я писал, что лечу тачку удаленно и это все мне теперь как то надо продиктовать блондинкам. Первый пункт еще как то можно сделать в телефоном режиме, а вот второй пункт......извините уже никак...............
-
Этот файл на сеть не должен влиять. Пусть пробуют поднять.
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
Olejah
Этот файл на сеть не должен влиять. Пусть пробуют поднять.
щас попытаюсь как то смс-ками их заспамить, пусть пишут
надеюсь оно поднимется после ребута, очень надеюсь )))))))))
Добавлено через 15 минут
Сообщение от
Olejah
Этот файл на сеть не должен влиять. Пусть пробуют поднять.
вообщем они все написали, при запуска скрипта, выдает какую то ошибку, 2.20, я так понимаю это 2-я строка, 20 символ или как?
Последний раз редактировалось white_ghost; 08.09.2010 в 20:02.
Причина: Добавлено
-
Поправлено, а что с сетью?
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
Olejah
Поправлено, а что с сетью?
так 20-й символ это "("
по поводу сети, схема там такая, провайдер дает риал-айпи, маску, шлуз и днс и этоти айпишники вручную прописываются на сетевой карте. Проверял по телефону, все айпишники на месте, но не работает инет
Добавлено через 1 час 16 минут
вообщем, так у меня не вышло ничего объяснить блондинкам, завтра буду на месте, выполню сам этот скрипт, если поможет - отпишусь и сделаю логи, если надо, если не поможет, переставлю систему. В любом случаи я отпишусь.
Последний раз редактировалось white_ghost; 08.09.2010 в 21:33.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 51
Можно продолжать дискуссию, таки после запуска этого скрипта и после ребута сетка поднялась. что мне дальше делать? делать новые логи или ждать новый скрипт для исполнения?
-
Junior Member
- Вес репутации
- 51
Вообщем сделал новые логи, появилась проблема следующая, запустил TCPVIEW и там постоянно system procces отрывает ТСР сессии на 25 порт(smtp)... и закрылся антивирус.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\arh1.bat','');
QuarantineFile('C:\Documents and Settings\User\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\User\Application Data\ltzqai.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\arh1.bat','');
QuarantineFile('C:\Documents and Settings\User\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\User\Application Data\ltzqai.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно
Приложения 3 правил по красной ссылке
Прислать запрошенный карантин вверху темы
Сделайте новые логи
Извиняюсь что долго не отписывался, был в командировке. Тему можно закрывать. Проблема была решена вчера, переустановкой системы, больше никаких лишних движений в сторону сети подозрительных процессов не обнаружено.
Спасибо.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\cmdow.exe - not-a-virus:RiskTool.Win32.HideWindows.o
-