соседняя машина

Printable View

17.10.2007, 17:11
Gaer

Вложений: 3

соседняя машина

вот логи...
17.10.2007, 17:22
Bratez

1. Выполните скрипт:
[code]
begin
BC_QrSvc('runtime');
BC_QrSvc('runtime2');
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.[/code]

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

2. Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k[/code]
3. Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system.exe','');
DeleteFile('C:\WINDOWS\system.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\663.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки карантин по правилам и новые логи.
17.10.2007, 17:54
Gaer

Вложений: 3

выполнил, вот логи
17.10.2007, 18:00
Bratez

Всё ОК, логи чистые.

Что-нибудь из этого нужно? -
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
17.10.2007, 18:03
Gaer

всё закрыл, спасибо большое, выручили сильно.

respect вам за ваш нелёгкий труд
22.02.2009, 02:37
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system.exe - [B]Trojan-Dropper.Win32.Delf.aho[/B] (DrWEB: Trojan.Inject.465)[*] c:\\663.tmp - [B]Trojan-Proxy.Win32.Agent.pn[/B] (DrWEB: Trojan.Packed.147)[/LIST][/LIST]