>:(Обнаружил вирус - троянская программа 'Rootkit.Win32.Agent.fq'. Но удалить и вылечить не могу...Появляется надпись " Файл C:\WINDOWS\system32\syssrv.sys не вылечен: нет прав на запись" и пишет пропустить. Что делать?
Printable View
>:(Обнаружил вирус - троянская программа 'Rootkit.Win32.Agent.fq'. Но удалить и вылечить не могу...Появляется надпись " Файл C:\WINDOWS\system32\syssrv.sys не вылечен: нет прав на запись" и пишет пропустить. Что делать?
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syssrv.sys ','');
QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил.
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
И еще: поищите с помощью AVZ (Сервис - Поиск файлов) файл [B]ctfmon.exe[/B]. Если найдется где-нибудь, кроме system32, пришлите по правилам.
Все сделал...Файл [B]ctfmon.exe[/B] находится только вsystem32.
Посылаю архив.
[[color=#CC0000]moderated! Запрошенные файлы нужно присылать в соответствии с приложением 3 правил.[/color]]
карантин отправтьпе по этой ссылке
[url]http://virusinfo.info/upload_virus.php?tid=12239[/url]
выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\syssrv.sys');
BC_DeleteFile('C:\WINDOWS\system32\syssrv.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
после выполнения скрипта,компьютер перезагрузиться.
Повторите лог
Посылаю лог.
простите опечатался,повторите все логи :)
Посылаю предущий лог
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Пишит, что уже существует в теме
удали старые логи.
Понял. Посылаю.....предыдущий лог
нужны всё три лога.
Первый сделан после первоначальной проверки и отослан вместе с 2 файлами virusinfo_syscure.zip и virusinfo_syscheck.zip...я его переслал...А последний после выполнения скрипта тоже послал в 12.37
Так,что-то вы наворотили тут,нужно было сделать новые три лога после выполнения скрипта,и прикрепить их к своему последними сообщению.
Высылаю 3 лога.
Пофиксите в HijackThis:
[code]
O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Energy Controller] ctfmon.exe
[/code]
В карантине AVZ есть файл [B]U.exe [/B]- пришлите его по правилам.
Сообщите, что используется из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
остальное поправим.
А что с кодом делать?
[B]Vitamin5[/B], не понял, всё это используешь ? нужно всё закрыть, у меня всё закрыто и не жалуюсь ;)
А где закрыть то?
..да вроде ничего не использую...
[quote=Vitamin5;132498]А где закрыть то?[/quote]
в системе при помощи выполнения скрипта (в AVZ):
[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
RebootWindows(true);
end.[/code]
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
не забыть каспера обновить. уже 7-ка давно вышла.
Чтобы уменьшить шанс заражения, советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!
Удачи!
В карантине только ini-файл. Поищите [B]C:\U.exe[/B], он точно у вас есть, причем подозревается в принадлежности к семейству LdPinch!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\bitaccelerator\\bitaccelerator.dll - [B]not-a-virus:WebToolbar.Win32.BitAccelerator.d[/B] (DrWEB: Trojan.BitAcc)[/LIST][/LIST]