После лечения системы, по-видимому, остались проблемы.
Смущает, например, следующее:
C:\WINDOWS\system32\lrito5516-647f.sys;4;Перехватчик KernelMode
Ранее из системы было вычищено куча заразы.
Printable View
После лечения системы, по-видимому, остались проблемы.
Смущает, например, следующее:
C:\WINDOWS\system32\lrito5516-647f.sys;4;Перехватчик KernelMode
Ранее из системы было вычищено куча заразы.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\poof','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ntio922.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ndisaluo.sys','');
QuarantineFile('C:\WINDOWS\system32\kprof','');
QuarantineFile('C:\WINDOWS\system32\drivers\lmosl.sys','');
QuarantineFile('C:\WINDOWS\system32\lrito5516-647f.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Add22.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Add22.sys');
DeleteFile('C:\WINDOWS\system32\kprof');
DeleteFile('C:\WINDOWS\system32\poof');
DeleteFile('C:\WINDOWS\system32\Drivers\ndisaluo.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ntio922.sys');
BC_ImportALL;
BC_QrSvc('NdisWon');
BC_DeleteSvc('NdisWon');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Скрипт был выполнен.
Карантин выслан в виде двух файлов, один из которых - до скрипта.
Файлы логов также прикладываю, так как что-то, по-видимому, осталось.
C:\WINDOWS\system32\poof[B] RKIT/Agent.EZ[/B]
C:\WINDOWS\system32\Drivers\ntio922.sys [B]RKIT/Agent.EZ[/B]
C:\WINDOWS\system32\Drivers\ndisaluo.sys [B]TR/Rootkit.Gen [/B]
C:\WINDOWS\system32\kprof [B]TR/Rootkit.Gen [/B]
C:\WINDOWS\system32\drivers\lmosl.sys [B]TR/Killav.NE[/B]
C:\Documents and Settings\All Users\Документы\Settings\partnership.dll [B]TR/Hijacker.Gen [/B]
отключите антивирус ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('poof');
StopService('ndisaluo');
StopService('ntio922');
StopService('kprof');
DeleteFile('C:\WINDOWS\system32\kprof');
DeleteFile('C:\WINDOWS\system32\Drivers\ntio922.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ndisaluo.sys');
DeleteFile('C:\WINDOWS\system32\poof');
BC_DeleteSvc('poof');
BC_DeleteSvc('ndisaluo');
BC_DeleteSvc('ntio922');
BC_DeleteSvc('kprof');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ....
Выполнил скрипт, отключив антивирус.
После перезагрузки антивирус включил.
Логи повторил. Осталось?
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\lmosl.sys');
BC_DeleteSvc('MCIDRV_2600_6_0');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
сделайте лог virusinfo_syscheck.zip
Скрипт выполнил.
в логах ничего зловредного ...
из этого что не используется ...
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Используется только это:
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Всё остальное, соответственно, не используется.
выполните скрипт ...
[code]
begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
[/code]
Скрипт выполнил. Вроде все хорошо.
Спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\документы\\settings\\partnership.dll - [B]Trojan-Proxy.Win32.Xorpix.cs[/B] (DrWEB: BackDoor.Bech)[*] c:\\windows\\system32\\drivers\\lmosl.sys - [B]Trojan.Win32.KillAV.ne[/B] (DrWEB: Win32.Sector.4)[*] c:\\windows\\system32\\drivers\\ndisaluo.sys - [B]Trojan-Proxy.Win32.Wopla.at[/B] (DrWEB: Trojan.Sklog)[*] c:\\windows\\system32\\drivers\\ntio922.sys - [B]Trojan-Proxy.Win32.Wopla.at[/B] (DrWEB: Trojan.Sklog)[*] c:\\windows\\system32\\kprof - [B]Trojan-Proxy.Win32.Wopla.as[/B] (DrWEB: Trojan.Sklog)[*] c:\\windows\\system32\\lrito5516-647f.sys - [B]Email-Worm.Win32.Zhelatin.qe[/B] (DrWEB: Trojan.MulDrop.6515)[*] c:\\windows\\system32\\poof - [B]Trojan-Proxy.Win32.Wopla.as[/B] (DrWEB: Trojan.Sklog)[/LIST][/LIST]