помогите выгнать чертей
Printable View
помогите выгнать чертей
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\ovrscn.dll','');
QuarantineFile('D:\WINDOWS\system32\ntos.exe','');
QuarantineFile('D:\WINDOWS\system32\mmssyziyz.dll','');
QuarantineFile('D:\WINDOWS\System32\KernelDrv.exe','');
QuarantineFile('D:\WINDOWS\system32\drivers\pxark.sys','');
QuarantineFile('D:\WINDOWS\system32\ovwscn.sys','');
QuarantineFile('D:\WINDOWS\system32\ovrscn.sys','');
QuarantineFile('D:\WINDOWS\system32\aspimgr.exe','');
QuarantineFile('D:\WINDOWS\System32\lanmandrv.sys','');
QuarantineFile('D:\WINDOWS\system32\mswmsys.dll','');
QuarantineFile('D:\WINDOWS\System32\lanmanwrk.exe','');
DeleteFile('D:\WINDOWS\System32\lanmanwrk.exe');
DeleteFile('D:\WINDOWS\System32\lanmandrv.sys');
DeleteFile('D:\WINDOWS\system32\aspimgr.exe');
DeleteFile('D:\WINDOWS\system32\ovrscn.sys');
DeleteFile('D:\WINDOWS\system32\ovwscn.sys');
DeleteFile('D:\WINDOWS\System32\KernelDrv.exe');
DeleteFile('D:\WINDOWS\system32\mmssyziyz.dll');
DeleteFile('D:\WINDOWS\system32\ntos.exe');
DeleteFile('D:\WINDOWS\system32\ovrscn.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=17302[/url]).
Сделайте новые логи, все три по правилам.
закачал карантин
Хорошо, ждем логи.
логи
Для информации:
lanmandrv.sys - [b]Rootkit.Win32.Agent.tc[/b]
Сидит на месте, гад. А почему "Восстановление системы" включено?
отключил и еще раз проверил
вроде нету гянь
и есть какие то советы по серфингу и пользованием антивирусов так чтоб не нахватать опять червей
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
DelWinlogonNotifyByKeyname( 'ovrscn');
BC_QrSvc('Vrdn44');
BC_DeleteSvc('Vrdn44');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил, если будет не пуст.
Сделайте логи, начиная с п.10 правил (syscheck и HijackThis).
[size="1"][color="#666686"][B][I]Добавлено через 51 секунду[/I][/B][/color][/size]
Посмотрите, нужно ли вам что-либо из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Лишнее отключим.
[QUOTE=aleex17;180916]вроде нету гянь
и есть какие то советы по серфингу и пользованием антивирусов так чтоб не нахватать опять червей[/QUOTE]
Права Администратора у себя отключить, внимательно следить за окошками антивируса, которые возникают.
Да, книжку еще прочитать от Nika Golovko. Ссылки под рукой нет.
давате оставим тока это
Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
остальное отрубим
карантин вроде как пуст
Похоже, сделали п.10, а прикрепили старый лог от п.8.
Вот скрипт для отключения ненужного:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
[size="1"][color="#666686"][B][I]Добавлено через 52 секунды[/I][/B][/color][/size]
Сделайте снова логи, начиная с [B]п.10[/B] правил (syscheck и HijackThis).
добавил
Тэкс, новенькое появилось!
Выполните такой скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\ntos.exe','');
DeleteFile('D:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('D:\WINDOWS\system32\ntos.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Если в карантин что-то попадет, пришлите по правилам.
Про логи, начиная с п.10 правил, уже как-то и неудобно говорить... ;)
вложил
Это до последнего скрипта или после?
Скрипт отключения лишних сервисов не выполняли?
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\ntos.exe,
O21 - SSODL: MSWM - {50BAE82D-9C3E-46A0-A3EE-7EF0E916D8C9} - mswmsys.dll (file missing)
[/code]
пок нет добавил тока карантин еще
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
скрипт отключения лишних сервисов не выполняли?
выполнил сейчас
что дале делать
Повторите лог HijackThis.
повторил
ntos.exe - [b]Trojan-Spy.Win32.Zbot.abd[/b] - успешно удален.
А эту строчку фиксили или нет:
[code]O21 - SSODL: MSWM - {50BAE82D-9C3E-46A0-A3EE-7EF0E916D8C9} - mswmsys.dll (file missing)[/code]