Printable View
При открытии дисков, доктор веб ловит вирус в папке C:\Documents and Settings\f'Andy\Local Settings\Temp\ с разрешениеем *.dll. В эхплорере не показываются скрытые файлы, через тотал каоммандер увидел, что на каждом диске лежат файлы autorun.inf и juok3st.bat насколько я понял, трояны! После последней перезагрузки появилось еще и m1t8ta.com так же на каждом диске. Ваш рецепт??
Заранее спасибо!!!!
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
QuarantineFile('C:\WINDOWS\system32\alderlcm.dll','');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
BC_QrSvc('ASPI32');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
Отправил карантин. Автораны успешно удаллись, остались файлы в корневых каталогах juok3st.bat и m1t8ta.com. Эти файлы не видны в explorer, как и многие другие скрытые.
C:\WINDOWS\system32\amvo1.dll [B]Trojan-Psw.Win32.OnLineGames.oob[/B]
F:\autorun.inf [B]Trojan-Psw.Win32.OnLineGames.oob[/B]
E:\autorun.inf [B]Trojan-Psw.Win32.OnLineGames.oob[/B]
D:\autorun.inf [B]Trojan-Psw.Win32.OnLineGames.oob[/B]
C:\autorun.inf [B]Trojan-Psw.Win32.OnLineGames.oob[/B]
C:\juok3st.bat [B]Worm.Win32.AutoRun.bun[/B]
C:\WINDOWS\system32\amvo.exe [B]Trojan-Psw.Win32.OnLineGames.oob[/B]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\juok3st.bat');
DeleteFile('C:\m1t8ta.com');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи ...
Вот логи. Видимо на флешке засел. Отформатирую. Еще проблема, у меня похоже после скриптов отключились некоторые службы. В частности не могу получить фотографии с камеры с помощью Canon-овской проги, еще вылезла папка сетевых узлов в моем компьютере....
Давайте ещё один скриптик:
[code]
begin
QuarantineFile('L:\autorun.inf','');
QuarantineFile('C:\PROGRA~1\Odigo\Bin\OdigoBHO.dll','');
DeleteFile('L:\autorun.inf');
BC_ImportAll;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteSysClean;
RebootWindows(true);
end.[/code]
новый карантин по правилам
Прогу от canon придёться удалить и поставить по новой.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
службы пока скриптами не отключали, сто пудов :)
Видите ли в чем дело, я искал болезнь от этого недуга и наткнулся на ваш сайт в ветку с похожей проблемой [url]http://virusinfo.info/showthread.php?p=172856[/url], по глупости выполнил скрипты, которые есть на той странице, видимо из-за этого и траблы со службами. Не просек про индивидуальный подход. Очень сожалею.
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
Карантин отправил!
пуск - панель управления - администроривание - службы ... запустите все что вам нужно ...
Подключил все нужные службы, переустановил софт, установил драйвера для фотика с диска, программа Canon window категорически не хочет запускаться. Очень странно!
какую ошибку выдает ... ?
Именно, что ниче не выдает, она должна автоматом загружацца, после подключения фотика, ноль реакции, запускаю в ручную, секунду че-то грузит и все-равно ноль реакции! Службы Canon Camera Access Library 8, служба загрузки изображений и служба обнаружения SSDP работают.
Что можно было [COLOR="Red"][BLOCKED][/COLOR] с помощью этого кода, жизненно важного для фотика???:[CODE]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
end.[/CODE]
службу обнаружения SSDP запустите ...
Все запущено, но не работает....
Может, и этому терминальный сервер нужен?
[quote=pig;175120]Может, и этому терминальный сервер нужен?[/quote]
Хм, чтобы это значило?:)
В порядке бреда:
[code]begin
SetServiceStart('TermService', 2);
end.[/code]
Не сработало:)
пуск -панель управления - администрировани- службы - служба терминалов (работает ?)
Работает, Авто!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.oob[/B][*] c:\\juok3st.bat - [B]Worm.Win32.AutoRun.bun[/B] (DrWEB: Trojan.MulDrop.6474)[*] c:\\windows\\system32\\amvo.exe - [B]Trojan-GameThief.Win32.OnLineGames.oob[/B] (DrWEB: Trojan.MulDrop.6474)[*] c:\\windows\\system32\\amvo1.dll - [B]Trojan-GameThief.Win32.OnLineGames.oob[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] d:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.oob[/B][*] d:\\juok3st.bat - [B]Worm.Win32.AutoRun.bun[/B] (DrWEB: Trojan.MulDrop.6474)[*] e:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.oob[/B][*] f:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.oob[/B][*] l:\\autorun.inf - [B]Worm.Win32.AutoRun.bur[/B] (DrWEB: Win32.HLLW.Autoruner.1489)[/LIST][/LIST]