даю логи. заранее спасибо за помощь.
Printable View
даю логи. заранее спасибо за помощь.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
QuarantineFile('C:\WINDOWS\system32\Drivers\xccddchm.dat','');
QuarantineFile('C:\WINDOWS\system32\cdshell.dll','');
QuarantineFile('C:\WINDOWS\system32\adsldpci.dll','');
DeleteFile('C:\WINDOWS\system32\Drivers\xccddchm.dat');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\system32\Drivers\xccddchm.dat');
BC_DeleteSvc('hqphcheq');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=15408[/url]
спасибо за ответ! карантин выслал.
xccddchm.dat - [b]Rootkit.Win32.Agent.ql[/b]
adsldpci.dll - [b]Trojan.Win32.BHO.abo[/b]
Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\adsldpci.dll');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{B9DC5B72-C0A4-4B76-AD3C-82C4FDDA32CE}');
BC_DeleteFile('C:\WINDOWS\system32\adsldpci.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи.
даю новые логи. похоже, проблема решена:biggrinsanta:.
буду благодарен за скрипт по удалению уязвимостей.
З.Ы. при наборе этого сообщения постоянно выскакивало окно управления вложениями (логи были вложены перед набором текста). к чему бы это?
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
QuarantineFile('C:\DOCUME~1\stadler\LOCALS~1\Temp\catchme.sys','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
От зараза...
Файл сохранён как071218_064239_virus2_4767c03f730d5.zip...
catchme - это вроде антируткит такой. Если не нужен, можно прибить его драйвер:
[code]begin
DeleteService('catchme');
end.[/code]
Насчет потенциальных уязвимостей - вот:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
Автозапуск CD оставил. Если есть локалка с общим доступом к файлам и принтерам, уберите первую строчку после begin.
объясните чайнику, что есть антируткит, откуда он взялся и зачем может быть нужен?
это не часть spyware terminator'а?
>> что есть антируткит
Программа для выведения руткитов на чистую воду ;)
>> откуда он взялся
Значит сами не ставили - тогда выполните маленький скрипт из сообщения выше, хуже не станет точно ;)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\adsldpci.dll - [B]Rootkit.Win32.Podnuha.y[/B] (DrWEB: Trojan.DownLoader.37561)[*] c:\\windows\\system32\\drivers\\xccddchm.dat - [B]Rootkit.Win32.Agent.tw[/B] (DrWEB: Trojan.NtRootKit.511)[/LIST][/LIST]