BSOD!!!

Printable View

14.09.2007, 17:46
=фанто=

Вложений: 3

BSOD!!!

BSOD время от времени, кое какие игрушки глючат...
14.09.2007, 17:52
Bratez

1. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\Program Files\imeem\imeem.exe','');
QuarantineFile('C:\DOCUME~1\6350~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('c:\documents and settings\Ёж\application data\spoolsv.exe','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe','');
QuarantineFile('C:\WINDOWS\system32\mscoree.dll','');
QuarantineFile('D:\(Program Files)\Procenter\aIP\ssleay32.dll','');
QuarantineFile('D:\(Program Files)\Procenter\aIP\libeay32.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
14.09.2007, 17:54
drongo

уже не первый раз на форуме , а правила не выполняем. каспера удалить и поставить нового. просканировать как указано в правилах.
базы avz не обновлeны!!!
14.09.2007, 17:56
Bratez

2. Выполните следующий скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Ёж\Application Data\spoolsv.exe');
DeleteFile('C:\DOCUME~1\6350~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
BC_ImportDeletedList;
BC_DeleteSvc('ICF');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

3. После перезагрузки пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Ёж\Application Data\spoolsv.exe,
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\6350~1\LOCALS~1\Temp\winlogon.exe
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
[/code]
(чего-то может и не оказаться).

4. Сделайте новые логи.
14.09.2007, 18:30
=фанто=

[QUOTE=drongo;134642]уже не первый раз на форуме , а правила не выполняем. каспера удалить и поставить нового. просканировать как указано в правилах.
базы avz не обновлeны!!![/QUOTE]
где ж мне взять нового??? али купить пойти???
не хватает 1500.
14.09.2007, 18:39
drongo

[QUOTE='=фанто=;134657']где ж мне взять нового??? [/QUOTE]с антивируса c 6 до 7 бесплатно, если лицензия закончилась то он почти бесполезен.
14.09.2007, 20:58
=фанто=

[QUOTE=drongo;134664]с антивируса c 6 до 7 бесплатно, если лицензия закончилась то он почти бесполезен.[/QUOTE]
закончилась...

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

[QUOTE=Bratez;134641]1. Выполните скрипт в AVZ:
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.[/QUOTE]

завис после выполнения скрипта.
Делаю пункт 2
14.09.2007, 21:18
=фанто=

Вложений: 1

[QUOTE=Bratez;134643]2. Выполните следующий скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Ёж\Application Data\spoolsv.exe');
DeleteFile('C:\DOCUME~1\6350~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
BC_ImportDeletedList;
BC_DeleteSvc('ICF')
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
[/QUOTE]
ошибка скрипта.
14.09.2007, 22:11
V_Bond

вот так ... всего то[B] ;[/B]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Ёж\Application Data\spoolsv.exe');
DeleteFile('C:\DOCUME~1\6350~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
BC_ImportDeletedList;
BC_DeleteSvc('ICF');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
15.09.2007, 12:27
=фанто=

[QUOTE=V_Bond;134735]вот так ... всего то[B] ;[/B]
[/code][/QUOTE]
:-)))
15.09.2007, 12:46
=фанто=

Вложений: 3

вот новые логи.
15.09.2007, 15:57
drongo

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[code]

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
clearquarantine();
QuarantineFile('C:\WINDOWS\system32\msdnc3.exe','');
QuarantineFile('C:\WINDOWS\system32\wininet.exe','');
QuarantineFile('C:\WINDOWS\Temp\*DF601.tmp','');
DeleteFile('C:\WINDOWS\system32\msdnc3.exe');
DeleteFile('C:\WINDOWS\system32\wininet.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.[/code]Прислать карантин согласно приложения 3 правил .

P.S.Насчёт ваших дырок в системе:что используется?
[code]
Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/code]
15.09.2007, 23:06
=фанто=

карантин
15.09.2007, 23:13
=фанто=

насчёт дырок

если говорить по каждой, то нужно время. Не проще прислать список программ, которые теоретически могут это использовать? - стоит Daemon Tool, DVD Shrink, ещё наверно WEB Money, некий GGClient, imeem, Nokia PC suite. Вроде всё. Никаких удалённых помощников и прочей лабуды..))
15.09.2007, 23:16
V_Bond

[B]=фанто=[/B], пришлите карантин по ссылке ... [url]http://virusinfo.info/upload_virus.php?tid=12462[/url]
к теме его прикреплять[B] нельзя [/B]....
вот скрипт для закрытия потенциальных уязвимостей ...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.
[/code]
17.09.2007, 12:19
=фанто=

всем спасибо))
22.02.2009, 02:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\ёж\\application data\\spoolsv.exe - [B]Trojan-PSW.Win32.LdPinch.cfk[/B] (DrWEB: Trojan.Spambot.2389)[*] c:\\windows\\system32\\msdnc3.exe - [B]Backdoor.Win32.Small.ls[/B] (DrWEB: Trojan.Proxy.2047)[*] c:\\windows\\system32\\wininet.exe - [B]Backdoor.Win32.Small.ls[/B] (DrWEB: Trojan.Proxy.2047)[/LIST][/LIST]