При запуске системы стартует левый процесс winlogon.exe. После чего отрубается брандмауэр. За тем следует остановка группы сервисов. Симантек ругается, но изминить ситуацию не в состоянии. Взываю к помощи ;)
Printable View
При запуске системы стартует левый процесс winlogon.exe. После чего отрубается брандмауэр. За тем следует остановка группы сервисов. Симантек ругается, но изминить ситуацию не в состоянии. Взываю к помощи ;)
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\DefLib.sys','');
QuarantineFile('c:\docume~1\operator\locals~1\temp\winlogon.exe','');
DeleteFile('c:\docume~1\operator\locals~1\temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\DefLib.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe');
BC_ImportALL;
BC_DeleteSvc('protect');
BC_DeleteSvc('ICF');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки карантин по правилам и новые логи - в студию ;)
З.Ы. Интересно, за какое число у вас базы Симантека?
Базы вчерашние. Есть соображение что это из-за восстановления системы :?
Логи чистые.
Рекомендую отключить все ненужное из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
P.S.:
В карантине только protect.sys - [b]Rootkit.Win32.Agent.jj[/b]
Остальных похоже съел Симантек (хорош на готовенькое ;)).
Антивирус полагается отключать при создании карантина.
Спасибо за помощ и советы! Я стопил сервисы симантека. Но он, гаденышь, видимо, после 1-й перезагрузки их скушал :D
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\protect.sys - [B]Rootkit.Win32.Agent.jj[/B] (DrWEB: Trojan.NtRootKit.429)[/LIST][/LIST]