Printable View
Пытаюсь следовать вашим правилам. Как только выполняю этот пункт:
Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив [B]"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"[/B]. Нажмите [B]"Выполнить отмеченные скрипты"
[/B]Компьютер перегружается. Что делать?
1. Попробуйте сделать это в безопасном режиме.
2. Попробуйте сделать такой лог:
[url]http://virusinfo.info/showthread.php?t=10387[/url]
3. Сделайте лог HijackThis.
1. Попробуйте сделать это в безопасном режиме.
Прикладываю файл virusinfo_syscure.zip сделанный в безопасном режиме.
При выполнении стандартного скрипта #1 также уходит в перезагрузку.
[B][COLOR=Blue]Файл/Исследование системы[/COLOR][/B] - переключить[I] "Только активные службы и драйверы"[/I] на [B]"Все службы и драйверы"[/B] -[B][COLOR=Blue]Пуск/Сохранить протокол
[/COLOR][/B][COLOR=Blue][COLOR=Black]Прикладываю протокол в файле protocol.rar
[/COLOR][/COLOR] 3. Сделайте лог HijackThis.
Прикладываю файл hijackthis.log
Далее по правилам выполнил в нормальном режиме:
[COLOR=brown][B]10. [/B][/COLOR]Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив [B]"Скрипт сбора информации для раздела "Помогите!" virusinfo.info"
[/B]Прикладываю файл virusinfo_syscheck.zip
Проблема в том, что комп перегружается при подключении к интернету. При отключенном интернете работает стабильно. И перегружается даже при отключенном интернете при выполнении стандартных скриптов 1 и 3 в обычном (не безопасном) режиме.
Выполнить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('Microsoft Internet Explorer.sys','');
QuarantineFile('Gmrx78.sys','');
BC_DeleteFile('Microsoft Internet Explorer.sys');
DeleteFile('Microsoft Internet Explorer.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После этого попробовать станд скрипт №3
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Gmrx78.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Gmrx78.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
2. Пофиксите в HijackThis:
[code]O22 - SharedTaskScheduler: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - (no file)[/code]
3. Поищите вручную через AVZ (Сервис - Поиск файлов) след. файлы:
[b]MDM.sys
Microsoft Internet Explorer.sys[/b]
Добавьте их в карантин.
4. Пришлите карантин по правилам. Загружать тут:
[url]http://virusinfo.info/upload_virus.php?tid=13288[/url]
PavelA При выполнении этого скрипта также перегружается :'-(
Сейчас попробую скрипт от Bratez
А карантин совсем пустой?
Bratez, твой скрипт тоже уводит в перезагрузку.
Строчку пофиксил
Поиск файлов ничего не дал.
[size="1"][color="#666686"][B][I]Добавлено через 31 секунду[/I][/B][/color][/size]
В карантине ничего нет
Выполните такой скрипт:
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Gmrx78', 'Start');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Потом скрипт из сообщения #5.
Если что попадет в карантин - пришлите.
Bratez, опять перегружается при выполнении скрипта. Есть подозрение что
SearchRootkit(); приводит к перезагрузке, как будто ресет нажали
Карантин и infected пустые
Остается загрузиться в консоль восстановления или LiveCD и переименовать файл
C:\WINDOWS\System32\Drivers\Gmrx78.sys
Затем запустить систему и сделать новый доп. лог в безопасном.
Сейчас попробую. Ему любое имя можно дать?
Кстати, вроде (тьфу-тьфу-тьфу) пока не перегружается после того как пофиксил строчку 022. Только идет постоянная сетевая активность на левые ip-шники.
Любое конечно. Потом пришлите его по правилам.
Отправил файл gmr.zip по правилам. Я его переименовал, загрузился в винду чтобы упаковать и симантек его сразу схавал с именем вируса Trojan.Srizbi так что пришлось его еще из изолятора выковыривать :)
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Кажись победил! После удаления этого файла пока не перегружается, посмотрю в дальнейшем. Но левая сетевая активность пропала.
Спасибо, товарищи! Особенно Bratez. Премного благодарен. Вы настоящие спецы.
Что делать в дальнейшем, чтобы уберечься от этой напасти?
Все ОК, теперь надо сделать все логи по правилам + дополнительный лог ([url]http://virusinfo.info/showthread.php?t=10387[/url]). Будем зачищать следы и мусор.
Ок, сейчас сделаю.
По Касперскому эта штука называется [b]Rootkit.Win32.Agent.kb[/b]
Все скрипты прошли нормально, прикладываю файлы логов и дополнительный файл протокола из дополнительного лога.
При выполнении стандартного скрипта #3 в карантин попал файл symavc32.sys, его также высылаю упакованный.
symavc32.sys - копия того же [b]Rootkit.Win32.Agent.kb[/b]
Выполните скрипт:
[code]
begin
BC_DeleteSvc('MDM');
BC_DeleteSvc('Microsoft Internet Explorer');
BC_DeleteSvc('Gmrx78');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\symavc32.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
На этом пожалуй всё.
Вот только потенциальные дырки надо закрыть, то что не нужно:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Извиняюсь конешно, а как это убрать:
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Остальное убрать смогу сам :)