У знакомых веб нашел зверинец... но кажется вычистил не все
Printable View
У знакомых веб нашел зверинец... но кажется вычистил не все
и еще - не получилось обновить AVZ - какие-то ошибки...
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\KB_963491.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\Rar$EX00.828\Christmas.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\system32\poof.sys','');
QuarantineFile('C:\WINDOWS\system32\kprof.sys','');
DeleteFile('C:\WINDOWS\system32\kprof.sys');
DeleteFile('C:\WINDOWS\system32\poof.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\Rar$EX00.828\Christmas.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\KB_963491.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('poof');
BC_DeleteSvc('kprof');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(13);
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил. Повторите логи.
В дополнение к тому, что написал [b]Maxim[/b], перед созданием новых логов, выполните также следующее: пофиксите с помощью Hijackthis, если останутся, строки: [code]O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [Microsoft] mswinsvcr.exe
O4 - HKLM\..\Run: [Winmplayer] "C:\WINDOWS\system32\KB_963491.exe"
O4 - HKLM\..\Run: [Internet Printer Driver] msnt3ch.exe
O4 - HKLM\..\RunServices: [Microsoft] mswinsvcr.exe
O4 - HKLM\..\RunServices: [Internet Printer Driver] msnt3ch.exe
O4 - HKCU\..\Run: [Internet Printer Driver] msnt3ch.exe
O4 - HKCU\..\Run: [ChristmasTree] C:\DOCUME~1\User\LOCALS~1\Temp\Rar$EX00.828\Christmas.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?[/code] Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
Clearhostsfile;
end.[/code]
Результат загрузки
Файл сохранён как 080122_063415_virus_4795e2c78df2f.zip
Размер файла 406805
MD5 316fa9974d0c005e6f8767d364ad2c1e
Где повторные логи?
[quote=Maxim;176481]Где повторные логи?[/quote]
К сожалению не все так быстро :wink_3:
В логах всё нормально. Проблема решена?
P.S.: У Вас раньше стоял kerio firewall?
[quote=Maxim;176491]В логах всё нормально. Проблема решена?
P.S.: У Вас раньше стоял kerio firewall?[/quote]
К сржалению (или к счастью) это не у меня, поэтому наверняка сказать не могу.
Но, честно говоря, сомневаюсь.
Пожалуй подчистим этот драйвер.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
BC_DeleteSvc('fwdrv.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]Повторите лог virusinfo_syscheck.zip.
[quote=Maxim;176524]Пожалуй подчистим этот драйвер.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[code]begin
BC_DeleteSvc('fwdrv.sys');
BC_Activate;
RebootWindows(true);
end.[/code]Повторите лог virusinfo_syscheck.zip.[/quote]
Готово
чистка прошла успешно ....
что из этого нужно ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
К сожалению, я не знаю где используется компутер, но точно уверен что он используется для работы, поэтому все отключать явно не стоит.
Я бы отключил автозапуск программ с CDROM и NetMeeting Remote Desktop Sharing
отключаем ...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('mnmsrvc', 4);
RebootWindows(true);
end.
[/code]
Вобщем-то я так и подумал ;-)