Логи прилагаю, прошу посмотреть и дать рекомендации.
Printable View
Логи прилагаю, прошу посмотреть и дать рекомендации.
АВЗ - "Файл" => "Выполнить скрипт"
[code]
begin
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\setnote.cpl','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\DOCUME~1\81F6~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\StarOpen.SYS','');
QuarantineFile('C:\WINDOWS\system32\simp_dll.dll','');
BC_DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
BC_DeleteFile('C:\DOCUME~1\81F6~1\LOCALS~1\Temp\winlogon.exe');
BC_DeleteFile('C:\WINDOWS\svchost.exe');
BC_Activate;
RebootWindows(true);
end.
[/code]
После перезагрузки пришлите карантин по правилам и повторите логи.
Карантин загрузил.
Логи прилагаю.
Прошу посмотреть.
Ну очень прошу посмотреть!
Посмотрите логи, пожалуйста!
Пришлите по правилам файл [B]C:\WINDOWS\system32\ntoskrnl.exe[/B]
Выполнить скрипт в Safe Mode, предварительно отключив антивирус:
[CODE]begin
ClearQuarantine;
QuarantineFile(\WINDOWS\system32\ntoskrnl.exe',' ');
BC_QrFile('\WINDOWS\system32\ntoskrnl.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Подготовить на всякий случай диск с дистрибутивом ХР.
Если \WINDOWS\system32\ntoskrnl.exe попадет в карантин, то загрузить.
Скачайте Cureit beta - [url]ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe[/url] и проверьте им диск с: всё что найдет нужно вылечить.
После повторите 1-й из логов AVZ.
[quote='Bratez;134548']Пришлите по правилам файл C:\WINDOWS\system32\ntoskrnl.exe[/quote]
файл ntoskrnl.exe загрузил, Cureit betta выполняется.
Посмотрите файл пожалуйста.
[quote='PavelA;134550']Подготовить на всякий случай диск с дистрибутивом ХР.[/quote]
А что диск понадобиться, есть вероятность?
А то ведь я лечу не свой компьютер, а на расстоянии посредством e-mail и телефона....
Но повторная установка XP на расстоянии может уже не получиться.
[QUOTE=tenzor;134687]
А то ведь я лечу не свой компьютер, а на расстоянии посредством e-mail и телефона....
[/QUOTE]
C:\WINDOWS\system32\ntoskrnl.exe - Trojan.Win32.Patched.ah - касперский лечит ....
После лечения ntoskrnl.exe выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
DeleteFile('C:\DOCUME~1\81F6~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
и сделайте новые логи.
[QUOTE=V_Bond;134697]C:\WINDOWS\system32\ntoskrnl.exe - Trojan.Win32.Patched.ah [/QUOTE]
Собственно поэтому и Cureit-beta, потому как пока не вылечим ntoskrnl.exe продолжать смысла нет.
simp_dll.dll кстати прилеплена в хвост к ntoskrnl.exe и распаковывается оттуда при запуске последнего.
[QUOTE='tenzor;134687']А что диск понадобиться, есть вероятность?
А то ведь я лечу не свой компьютер, а на расстоянии посредством e-mail и телефона....[/QUOTE]
Это желательно в первом сообщении писать.
По делу - данную болячку лечит Касперский 7 (триал тоже), Cureit-beta.
Одно из этих скачиваем и запускаем.
Curit-beta скачали и прогнали, вирус был обнаружен в шести местах.
Свежие логи сейчас будут.
логи прилагаю
Профиксить:
[CODE]O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\81F6~1\LOCALS~1\Temp\winlogon.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - shell32.dll (file missing)
[/CODE]
Выполнить скрипт:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
Загрузить если что-то попадет в карантин.
Новые логи прикрепить к теме.
end.[/CODE]
Карантин загружен, Логи прилагаются.
Логи чистые. Остается закрыть дырки:
[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/QUOTE]
Если что не нужно отпишите, дадим скрипт чтобы закрыть.
Компьютер домашний, выход в интернет через Ethernet (вроде как домовая сеть), так что, наверное, можно все закрывать.
А какая из этих служб потенциально может быть нужна?
Я думаю, что все можно закрывать.
Выполнить скрипт:
[CODE]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.[/CODE]
Если вдруг что-то не заработает, обращайтесь, включим назад.
Вроде как нормально работает после закрытия уязвимостей.
Еще сейчас поставим чохом все обновления для ХР, и будем надеятся, что все будет ОК.
Всем спасибо за помощь!
:druzja: