Проделал все описанное в правилах, наловил кучу вирусов, восстановил политики для поль-ля через AVZ. Никаких признаков зараженя, однако как только подключил - опять стали обнаруживаться вирусы.
Printable View
Проделал все описанное в правилах, наловил кучу вирусов, восстановил политики для поль-ля через AVZ. Никаких признаков зараженя, однако как только подключил - опять стали обнаруживаться вирусы.
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\ieobj.dll','');
QuarantineFile('sazmgr32.dll','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\yhm.exe','');
QuarantineFile('C:\WINDOWS\system32\windres.exe','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\servsq.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\c++.exe','');
QuarantineFile('C:\WINDOWS\system32\TFNF5.exe','');
QuarantineFile('C:\WINDOWS\system32\00THotkey.exe','');
QuarantineFile('C:\WINDOWS\System32\odfwbc19.dll','');
QuarantineFile('000StTHK.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
BC_DeleteSvc('Rypn67');
BC_DeleteSvc('protect');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
BC_DeleteSvc('lanmandrv');
QuarantineFile('C:\WINDOWS\System32\lanmandrv.sys','');
BC_DeleteSvc('kcp');
QuarantineFile('C:\WINDOWS\system32\drivers\kcp.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
BC_DeleteSvc('Dkq41');
QuarantineFile('C:\WINDOWS\System32\Drivers\Dkq41.sys','');
BC_DeleteSvc('diperto359c-7060');
QuarantineFile('C:\WINDOWS\system32\diperto359c-7060.sys','');
BC_DeleteSvc('Schedule');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
BC_DeleteSvc('Google Online Search Service');
QuarantineFile('C:\WINDOWS\system32\winlagons.exe','');
DeleteFile('C:\WINDOWS\system32\winlagons.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\diperto359c-7060.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Dkq41.sys');
DeleteFile('C:\WINDOWS\system32\drivers\kcp.sys');
DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('000StTHK.exe');
DeleteFile('C:\WINDOWS\System32\odfwbc19.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\servsq.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\WINDOWS\system32\windres.exe');
DeleteFile('C:\WINDOWS\system32\yhm.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('sazmgr32.dll');
DeleteFile('C:\WINDOWS\TEMP\ieobj.dll');
DelBHO('{B3B010A1-A877-4CD7-BAB5-9EE8F9965E20}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 праил ....
повторите логи ....
[quote=V_Bond;194775]выполните скрипт ....
[code]
begin
<skip>
end.
[/code]
пришлите карантин согласно приложения 3 праил ....
повторите логи ....[/quote]
Вот логи и карантин
[color=red]Карантин пришлите в соответствии с приложением 3. То есть, по ссылке над темой.[/color]
пофиксите ....
[code]
O20 - Winlogon Notify: asqmgr - asqmgr32.dll (file missing)
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
O20 - Winlogon Notify: ksdmgr - ksdmgr32.dll (file missing)
O20 - Winlogon Notify: odfwbc19 - C:\WINDOWS\
O20 - Winlogon Notify: odfwbc21 - C:\WINDOWS\
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: sazmgr - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
O20 - Winlogon Notify: wmpudbms - C:\WINDOWS\
[/code]
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\crypserv.exe','');
QuarantineFile('C:\WINDOWS\system32\cisvc.exe','');
QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe','');
QuarantineFile('C:\WINDOWS\system32\imapi.exe','');
QuarantineFile('C:\WINDOWS\system32\netdde.exe','');
QuarantineFile('C:\WINDOWS\system32\locator.exe','');
QuarantineFile('C:\WINDOWS\system32\rsvp.exe','');
QuarantineFile('C:\WINDOWS\system32\spoolsv.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('C:\WINDOWS\system32\spoolvs.exe','');
DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
Отправляю, а логи нужны?
C:\WINDOWS\system32\crypserv.exe - чист
Остальные в карантин не попали.
Да, логи нужны - с п.10 Правил
[quote=rubin;195273]Да, логи нужны - с п.10 Правил[/quote]
Вот то, что указано в п.10
Имелось ввиду начиная с п.10 правил, т.е. нужен ещё hijackthis.log
[quote=wise-wistful;195635]Имелось ввиду начиная с п.10 правил, т.е. нужен ещё hijackthis.log[/quote]
Вот он
[url]http://www.tksinc.us/downloads/WinsockXPFix.exe[/url] - скачайте , запишите настройки интернет ( после применения прграммы придется вводить заново) ...
пуск выполнить sfc /scannow - понадобится диск с дистрибутивом ...
повторите логи начиная с пункта 10 праил ...
[quote=V_Bond;196506]после применения прграммы придется вводить заново ...[/quote]
Не пришлось
Вот по п. 10
sfc /scannow - выполнили ?
Да, конечно.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\winlogon.exe','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил. mail.z62.ru Вам знаком? Есть расшареные папки?
Карантин отправил. Сервер mail.z62.ru мне знаком. Запустил на нем поиск вирусов.
Пуск - Выполнить:
Введите комадну: sfc /scannow
Windows будет проверять целостность защищённых файлов на вашем компе. Для восстановления может потребоваться установочный диск ОС. Повторите лог virusinfo_syscheck.zip
[quote=Maxim;197565]Пуск - Выполнить:
Введите комадну: sfc /scannow
Windows будет проверять целостность защищённых файлов на вашем компе. Для восстановления может потребоваться установочный диск ОС.[/quote]
Диск не потребовался.
Есть жалобы?
Нет! Жалоб нет уже давно, просто уже имел опыт недоведения до конца - это не надолго.
Есть другая проблема. Я администрю небольшой офис и заразы водяться почти везде. Я слабо представляю принцип возмещения трудозатрат на лечение 1-й то машины, а прогнать через Вас весь свой парк мне совесть не позволит.
Принципиально я подготовился к внесению некоторой суммы через Yandex-деньги, но затрудняюсь с оценкой адекватного размера.
Не волнуйтесь, нам все равно чьи машины лечить. Главное чтобы каждой машине была своя тема.