И вновь - целая толпа монстров:
Printable View
И вновь - целая толпа монстров:
профиксить в hijackthis:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\idaw64.exe,[/CODE]
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\kprof','');
QuarantineFile('C:\WINDOWS\system32\poof','');
QuarantineFile('C:\WINDOWS\system32\idaw64.exe','');
QuarantineFile('C:\DOCUME~1\CCD4~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('\??\C:\WINDOWS\system32\DefLib.sys','');
BC_QrSvc('poof');
BC_QrSvc('kprof');
BC_DeleteFile('\??\C:\WINDOWS\system32\DefLib.sys');
DeleteFile('C:\DOCUME~1\CCD4~1\LOCALS~1\Temp\winlogon.exe');
BC_DeleteFile('C:\DOCUME~1\CCD4~1\LOCALS~1\Temp\winlogon.exe');
BC_DeleteFile('C:\WINDOWS\system32\poof');
BC_DeleteFile('C:\WINDOWS\system32\kprof');
BC_DeleteSvc('poof');
BC_DeleteSvc('kprof');
BC_DeleteSvc('FCI');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки загрузить карантин и сделать новые логи.
Остался [B]Trojan-Spy.Win32.Iespy[/B].
А и где карантин после моего скрипта? Жалко, если его антивир съел, даже с ini-файламию
Есть карантин только после выполнения логов.
Осталось чуть больше зверей. Скрипт сейчас нарисую.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('mswshl.dll','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить конкретно [B]mswshl.dll и C:\WINDOWS\svchost.exe + C:\WINDOWS\system32\mswapi.dll[/B]
Пардон, с карантином перемудрил, похоже.
Сейчас выслал старый.
Пошел скриптить...
Backdoor.Trojan - 'C:\WINDOWS\svchost.exe' (по Симантеку)
А карантин опять не тот. Там минимум 5-файлов ini д.б.
Вот, нашел и такой, с пятью ini. Других больше нет :)
То, что нужно. ;)
[B]Deflib.sys - Hacktool.Rootkit[/B] (по Симантеку)
[B]mswapi.dll - Trojan-Spy.Win32.Iespy.cb[/B] (новый по Касперскому)
[B]kpoof - Hacktool.Rootkit[/B] (по Симантеку)
И что же с этой троицей делать?
AVZ оять говорить про [B]Trojan-Spy.Win32.Iespy.ag[/B]
Это для его удаления.
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\mswapi.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');
DeleteFile('C:\WINDOWS\system32\mswapi.dll');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
BC_ImportDeletedList;
BC_DeleteSvc('FCI');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Если что-то попадет в карантин - пришлите по правилам.
Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\system32\mswapi.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)
[/code]
Сделайте новые логи.
В Карантине пусто.
Новые логи.
Что из этого не нужно? Можем помочь закрыть.
[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/QUOTE]
Первые 4 и последние 2. Закрою.
Спасибо!