Printable View
заранее спасибо за помощь.
после лечения были удалены файлы "runtime2.sys" "netdetect.sys"
несмотря на то что вредного по больше не обнаружено, после кадой перезагрузки все время образуются новые файлы вирусы в папке temp.
следует конечно сказать, что на исполнила до конца все перечисленные правила - на нашла :embarasse где отключить восстановление системных файлов в винд 2000 проф.
еще раз спасибо!
вот цитата из правил...
[code]
Приложение 1. Как отключить восстановление системы.
Windows Me:
Пуск > Hастpойки > Панель управления (Start > Programs > Accessories > Windows Explorer).
Двойной клик на иконке "Система" (System).(Если иконка "Система" не видна, щелкнуть мышью на "Показывать все опции Панели управления" (View all Control Panel options))
Hа вкладке "Быстpодействие" (Performance) нажать кнопку "Файловая система" (File System).
Hа вкладке "Дополнительно" (Troubleshooting) поставить птичку напpотив
"Запpетить восстановление системных файлов" (Disable System Restore).
Hажать ОК. Появится пpедложение пеpезагpузить Windows - также нажать ОК.
[/code]
Выполните скрипт в AVZ:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\rpcc.dll','');
QuarantineFile('C:\WINNT\Temp\startdrv.exe','');
DeleteFile('C:\WINNT\Temp\startdrv.exe');
DeleteFile('C:\WINNT\system32\rpcc.dll');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\*.*');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {b5146c40-189a-4311-bda9-fbae3e023187} - (no file)
O2 - BHO: (no name) - {b5146c40-189a-4311-bda9-fbae3e023187} - (no file)
O3 - Toolbar: (no name) - {b5146c40-189a-4311-bda9-fbae3e023187} - (no file)
O4 - HKLM\..\Run: [startdrv] C:\WINNT\Temp\startdrv.exe
O20 - Winlogon Notify: rpcc - C:\WINNT\system32\rpcc.dll (file missing)
[/code]
Если в карантин что-то попадет, пришлите согласно приложению 3 правил.
Сделайте новые логи.
Обратите внимание: прикреплять [B]virusinfo_syscure.zip [/B]а не virusinfo_cure.zip .
У вас компьютер в локальной сети или нет?
[QUOTE=belokurova;128384]
где отключить восстановление системных файлов в винд 2000 проф.
[/QUOTE]
а нигде: в Вин2К нет этой функции ;). Об этом и в правилах написано:
[QUOTE]7. Отключите восстановление системы (Windows [B][SIZE="4"]Me/XP[/SIZE][/B]).[/QUOTE]
спасибо за ответ!
все сделала, только одна заминка произошла, в HijackThis не нашла строки: O4 - HKLM\..\Run: [startdrv] C:\WINNT\Temp\startdrv.exe
честно пол часа подробно все просмотрела, не было ее там.
в темр все еще находит подозрения, сохранила по приложению три и загрузила: 070819_134203_virus_46c810823275c.zip
извините, если не все понимаю и делаю правильно, еще раз благодарю за помощь!
Очистите вручную папку
C:\Documents and Settings\Администратор\Local Settings\Temp\
(Local Settings - скрытая)
Потом перезагрузитесь и посмотрите, не появились ли там файлы с расширением .exe .
[QUOTE=Bratez;128441]Очистите вручную папку
C:\Documents and Settings\Администратор\Local Settings\Temp\
(Local Settings - скрытая)
[/QUOTE]
а лучше всего - [B]все[/B] темп-папки, и не обязательно вручную: [url]http://virusinfo.info/showthread.php?t=10025[/url] ;)
SCNR
[U]Дополнение:[/U]
Я не случайно спрашивал, используете ли вы локальную сеть. У вас запущено множество системных служб, из них значительную часть можно и нужно отключить, особенно если нет локалки. И еще для подчистки "мусора" выполните скрипт:
[code]begin
BC_DeleteSvc('WINEVENT');
BC_DeleteSvc('WINLOGON');
BC_Activate;
RebootWindows(true);
end.[/code]
[quote=Bratez;128441]Очистите вручную папку
C:\Documents and Settings\Администратор\Local Settings\Temp\
(Local Settings - скрытая)
Потом перезагрузитесь и посмотрите, не появились ли там файлы с расширением .exe .[/quote]
[quote=Rene-gad;128442]а лучше всего - [B]все[/B] темп-папки, и не обязательно вручную: [URL]http://virusinfo.info/showthread.php?t=10025[/URL] ;)
SCNR[/quote]
огромное спасибо!) использовала все советы) все теперь вроде хорошо!) :D
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[quote=Bratez;128446][U]Дополнение:[/U]
Я не случайно спрашивал, используете ли вы локальную сеть. У вас запущено множество системных служб, из них значительную часть можно и нужно отключить, особенно если нет локалки. И еще для подчистки "мусора" выполните скрипт:
[code]begin
BC_DeleteSvc('WINEVENT');
BC_DeleteSvc('WINLOGON');
BC_Activate;
RebootWindows(true);
end.[/code][/quote]
комп не в сети. честно говоря, верю что там многое можно отключить, но..) для этого наверно стоит разобраться в них, будем учиться)
огромное спасибо еще раз!)
[QUOTE=belokurova;128451]огромное спасибо!) использовала все советы) [/QUOTE]
дополнительный скрипт от Brateza (Сегодня 12:25) не забыли? :)
Я бы отключил вот эти:
[code]
O23 - Service: Оповещатель (Alerter) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - C:\WINNT\system32\faxsvc.exe
O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\system32\mnmsrvc.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe
O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - C:\WINNT\system32\MSTask.exe
O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
[/code]
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,[URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!
Удачи!
[quote=Rene-gad;128453]дополнительный скрипт от Brateza (Сегодня 12:25) не забыли? :)[/quote]
не забыла!) я бесприкословно все выполняю!)))
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[quote=Bratez;128455]Я бы отключил вот эти:
[code]
O23 - Service: Оповещатель (Alerter) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - C:\WINNT\system32\faxsvc.exe
O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\system32\mnmsrvc.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe
O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - C:\WINNT\system32\MSTask.exe
O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
[/code][/quote]
если я правильно понимаю это можно сделать с помощью HijackThis?
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
[quote=Muzzle;128459]Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,[URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!
Удачи![/quote]
спасибо и Вам за советы! пользуюсь надстройкой IE Avanta, понимаю что это не то чтобы другой браузер, но для меня наиболее удобный на сегодняшний день. насчет отключения скрпитов уже поняла, сделаю в пределах возможного.
Файлики обязательно загруду в базу!
[QUOTE=belokurova;128461]
если я правильно понимаю это можно сделать с помощью HijackThis?[/QUOTE]
нет, лучше так : [url]http://www.computerra.ru/gid/rtfm/system/34900/[/url] :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор\\local settings\\temp\\154802.exe - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: BackDoor.Bulknet)[*] c:\\documents and settings\\администратор\\local settings\\temp\\157436.exe - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: BackDoor.Bulknet)[*] c:\\documents and settings\\администратор\\local settings\\temp\\164286.exe - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: BackDoor.Bulknet)[*] c:\\documents and settings\\администратор\\local settings\\temp\\176834.exe - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: BackDoor.Bulknet)[/LIST][/LIST]