подцепил какой-то вирус, проверял утилитой CureIt от DrWeb и AVZ нашел кой что но спам все равно уходит
высылаю логи в соответствии с правилами
очень нужна помощь
заранее благодарен
Printable View
подцепил какой-то вирус, проверял утилитой CureIt от DrWeb и AVZ нашел кой что но спам все равно уходит
высылаю логи в соответствии с правилами
очень нужна помощь
заранее благодарен
выполните скрипт. ...
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Xni58', 'Start');
RebootWindows(true);
end.
[/code]
после перезагрузки еще один ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\d4ghggf4g.dll','');
QuarantineFile('C:\WINDOWS\system32\jkd845jg.dll','');
QuarantineFile('C:\WINDOWS\system32\yfeas.dll','');
QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\poof','');
QuarantineFile('C:\WINDOWS\Xni58.sys','');
DeleteFile('C:\WINDOWS\Xni58.sys');
DeleteFile('C:\WINDOWS\system32\poof');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
DeleteFile('C:\WINDOWS\system32\yfeas.dll');
DeleteFile('C:\WINDOWS\system32\jkd845jg.dll');
DeleteFile('C:\WINDOWS\system32\d4ghggf4g.dll');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{B5AF0562-94F3-42BD-F434-2604812C297D}');
DelBHO('{B5AC49A2-94F3-42BD-F434-2604812C897D}');
BC_DeleteSvc('poof');
BC_DeleteSvc('Xni58');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
выслал карантин и вот новые логи
Вместо virusinfo_cure.zip должен быть virusinfo_syscure.zip
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
При выполнении скриптов было сообщение "Скрипт выполнен без ошибок"?
извините, затупил малость.
вот нужный файл
да, выполнено без ошибок
Попробуем так:
1-й скрипт
[code]
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Xni58', 'Start');
RebootWindows(true);
end.[/code]
После перезагрузки 2-й скрипт
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Xni58.sys','');
DeleteFile('C:\WINDOWS\Xni58.sys');
BC_ImportALL;
BC_QrSvc('Vvo46');
BC_QrSvc('Xni58');
BC_DeleteSvc('Vvo46');
BC_DeleteSvc('Xni58');
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите новый карантин, если будет не пустой.
Повторите логи.
карантин не пустой Xni58.sys там присутствует, но с логами что-то непонятное.
Запустил "скрипт лечение/карантина" и оставил машинку работать, подхожу а там чистый экран, AVZ нет и логов в папке нет.
к сожалению на сегодня борьбу с вирусами вынужден прекратить, иначе до дому не доберусь, автобусы ходить перестанут.
Хоть карантин залейте, поглядим пока...
карантин залил, спасибо за заботу, до завта
Карантин пуст
залил новый карантин, но сдается мне он тоже пустой, добавил какртинку как выглядит карантин на машине
загрузилcя с диска LiveCD и удалил все файлы Xni58.sys
C:\Windows\Xni58.sys
C:\Windows\system32\drivers\Xni58.sys
теперь спам не отсылает, вот новые логи, посмотрите пожалуйста, может еще чего нехорошего имеется.
спасибо за оперативную помощь
Это вы правильно придумали, теперь в логах чисто :)
Образчик, судя по всему, у вас сохранился? -
[quote]C:\DISTR\Логи АнтиВиря\111\111.rar/{RAR}/Xni58.sys >>> подозрение на Trojan-Downloader.Win32.Agent.ggt....[/quote]
Пришлите по правилам для исследования.
Посмотрите, нужно ли вам что-то из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Лишнее рекомендуется отключить.
Чисто...
Пришлите по правилам C:\DISTR\Логи АнтиВиря\111\111.rar, там Вы сохранили копию зловреда - пригодится :smile:
Спасибо огромное за вашу помощь, файлик выслал.
всех с наступающим, споконых Вам выходных и безвирусных будней
Рекомендуется прочитать книгу [URL="http://security-advisory.newmail.ru/EBook.htm"]"Безопасный Интернет Универсальная защита для Windows ME – Vista"[/URL]
Вы можете отблагодарить нас оказав помощь в [URL="http://virusinfo.info/showthread.php?t=3519"]пополнении базы безопасных файлов[/URL].
И всёже лишние службы лучше отключить...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\111.rar - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: archive: BackDoor.Bulknet.112)[/LIST][/LIST]