Вопрос ребром:
[B]Trojan-Downloader.Win32.Agent.bwv[/B] и [B]Trojan.Win32.Agent.aqu[/B] - это "двое из ларца" или каждый из них сам по себе?
Printable View
Вопрос ребром:
[B]Trojan-Downloader.Win32.Agent.bwv[/B] и [B]Trojan.Win32.Agent.aqu[/B] - это "двое из ларца" или каждый из них сам по себе?
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\hdbywupc.dll','');
QuarantineFile('C:\WINDOWS\system32\gailg.dll','');
QuarantineFile('C:\WINDOWS\system32\clsevnt.dll','');
DeleteFile('C:\WINDOWS\system32\clsevnt.dll');
DeleteFile('C:\WINDOWS\system32\gailg.dll');
DeleteFile('C:\WINDOWS\System32\hdbywupc.dll');
DeleteFile('C:\WINDOWS\system32\fotnujou.dll');
DeleteFile('C:\WINDOWS\system32\gactqauh.dll');
DeleteFile('C:\WINDOWS\system32\hjchkaob.dll');
DeleteFile('C:\WINDOWS\system32\hjmsibrh.dll');
DeleteFile('C:\WINDOWS\system32\hqcoxwbw.dll');
DeleteFile('C:\WINDOWS\system32\pkyxpwyj.dll');
DeleteFile('C:\WINDOWS\system32\plaeadod.dll');
DeleteFile('C:\WINDOWS\system32\pmpgmtyb.dll');
DeleteFile('C:\WINDOWS\system32\vdddyelh.dll');
DeleteFile('C:\WINDOWS\system32\yuurjrfj.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Пофиксите в HijackThis:
[code]
O2 - BHO: CIEPl Object - {F3727275-224F-4AB0-8642-7D461EFB82D8} - C:\WINDOWS\system32\gailg.dll
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\hdbywupc.dll",setvm
O20 - Winlogon Notify: clsevnt - C:\WINDOWS\SYSTEM32\clsevnt.dll
O20 - Winlogon Notify: gailg - C:\WINDOWS\SYSTEM32\gailg.dll
[/code]
и сделайте новые логи.
СПАСИБО! Всё Ок?
в логах чисто ....
осталось разобраться что из этого вам нужно ?
[I]Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/I]
Вероятно, только автозапуск с CD-ROM :)
Остальное отключу.
Еще раз - спасибо!
атоматизируем ....
выполните скрипт..
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.
[/code]