Такая тема уже есть, но файл, указанный в ней у меня не находится. поэтому обращаюсь за помощью
Printable View
Такая тема уже есть, но файл, указанный в ней у меня не находится. поэтому обращаюсь за помощью
пофиксите ...
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: (no name) - {2D912527-7744-40A7-A188-FCFB8FC4CF89} - C:\WINDOWS\system32\CddbLangI.dll
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O23 - Service: Adfpddnkqtu - Unknown owner - (no file)
[/code]
отключите антивирус ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Rflw53.sys','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Sgyo58.sys','');
QuarantineFile('C:\WINDOWS\system32\CddbLangI.dll','');
DeleteFile('C:\WINDOWS\system32\CddbLangI.dll');
BC_DeleteFile('C:\WINDOWS\system32\drivers\nfdbuivg.dat');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Sgyo58.sys');
BC_DeleteFile('\SystemRoot\system32\drivers\nfdbuivg.dat');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Rflw53.sys ');
BC_ImportAll;
BC_DeleteSvc('Rflw53');
BC_DeleteSvc('Sgyo58');
BC_DeleteSvc('bpfbwamh');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи...
угу
1. [code]begin
SearchRootkit(false, true);
DelBHO('2D912527-7744-40A7-A188-FCFB8FC4CF89');
RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','Adfpddnkqtu');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\bpfbwamh', 'Start');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Sgyo58', 'Start');
RebootWindows(true);
end.[/code]
2. [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_DeleteFile('C:\WINDOWS\system32\CddbLangI.dll');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Sgyo58.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\nfdbuivg.dat');
BC_DeleteSvc('Sgyo58');
BC_DeleteSvc('bpfbwamh');
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите логи
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
Из карантина:
[b]Trojan.Win32.BHO.abo[/b] C:\WINDOWS\system32\CddbLangI.dll
[b]Rootkit.Win32.Agent.kb[/b]C:\WINDOWS\system32\drivers\Rflw53.sys
[b]Rootkit.Win32.Agent.px[/b] C:\WINDOWS\system32\drivers\Sgyo58.sys
есть
Почти чисто...
Сделайте [url="http://virusinfo.info/showthread.php?t=10387"]дополнительный лог[/url]
[quote=rubin;158419]Почти чисто...
[/quote]
не может не радовать)
Выполните скрипт:
[code]begin
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Adfpddnkqtu', 'Start');
RebootWindows(true);
end.[/code]
Затем:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\Adfpddnkqtu.sys','');
BC_QrFile('C:\WINDOWS\system32\drivers\Adfpddnkqtu.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Adfpddnkqtu.sys');
BC_DeleteSvc('Adfpddnkqtu');
BC_Activate;
RebootWindows(true);
end.[/code]
Карантин пришлите и повторите последний лог
сделано. только когда лог карантина делал, Касперский на эти файлы ругаться стал. удалил, не страшно?
в логах чисто ...
какие-то проблемы остались ?
вроде нет. аутпост никакой неопознанной активности не показывает.
спасибо огромное
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Что из этого не нужно?
машина домашняя, но ось ставилась с образа сисадмина, поэтому и работают эти службы по ходу
так что нафиг:
Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
если нет локалки ... то так ...
выполните скрипт ....
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]28[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\cddblangi.dll - [B]Rootkit.Win32.Podnuha.y[/B] (DrWEB: Trojan.DownLoader.37561)[*] c:\\windows\\system32\\drivers\\rflw53.sys - [B]Trojan.Win32.Srizbi.gt[/B] (DrWEB: Trojan.NtRootKit.433)[*] c:\\windows\\system32\\drivers\\sgyo58.sys - [B]Rootkit.Win32.Agent.px[/B] (DrWEB: Trojan.Sentinel)[/LIST][/LIST]