Помогите вылечить

Printable View

31.03.2008, 14:16
gss1234

Помогите вылечить

Что-то качает из Интернета.
31.03.2008, 14:24
wise-wistful

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ogysteo.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\DOCUME~1\LOBACH~1\LOCALS~1\Temp\Rar$EX00.515\Christmas.exe','');
QuarantineFile('C:\Documents and Settings\Lobacheva\Application Data\ntos.exe','');
DeleteService('runtime2');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\secdrv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\Documents and Settings\Lobacheva\Application Data\ntos.exe');
DeleteFile('C:\DOCUME~1\LOBACH~1\LOCALS~1\Temp\Rar$EX00.515\Christmas.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\ogysteo.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=20723[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE] F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
[/CODE]
Повторите логи.
31.03.2008, 14:38
gss1234

Готово

Карантин выслал. Новые логи вышлю по готовности.
31.03.2008, 14:43
PavelA

Желательно еще Симантека обновить. На машине похоже стоит SAV2005. Если это так, то это уже реликвия.
31.03.2008, 15:26
gss1234

Готово

SAV стоит 10 с базами от 26.03

Логи высылаю.
31.03.2008, 15:54
PavelA

А ядро САВа какое? У нас уже 10.1.6.6010 корпоративный.
31.03.2008, 15:56
gss1234

10.0.2.2000 рус. корп.
31.03.2008, 16:07
PavelA

Я потому интересуюсь, что ИМХО 10-ка должна ловить этих зверей.
Это с моей системы:
c:\program files\symantec antivirus\rtvscan.exe -
Symantec AntiVirus Copyright 1991 - 2007 Symantec Corporation. All rights reserved.

c:\progra~1\symant~1\vptray.exe
Symantec AntiVirus Copyright 1991 - 2007 Symantec Corporation. All rights reserved.

У Вас же все файлы за 2005 год.

По логам:
r_server.sys - вот это поищите через AVZ.
31.03.2008, 16:12
gss1234

Она и ловит. ntos - найден, удален. Качать все равно продолжает, после перезагрузки, опять найден. Cureit, полная проверка, где-то до половины, затем вылет в синий экран.
31.03.2008, 16:57
Bratez

Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\huadio.tmp','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\secdrv.sys','');
DeleteFile('c:\huadio.tmp');
BC_ImportDeletedList;
BC_DeleteSvc('ids0005c');
BC_DeleteSvc('ids0004C');
BC_DeleteSvc('autorun');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите новый карантин по правилам.