Админ подгадил.. Комп 1

Printable View

06.06.2008, 10:43
Luka_

Админ подгадил.. Комп 1

Привезли компы с другого офиса... Полна Ж... огурцов :(

В безопасный режим войти не смог, поэтому без CureIt
Выкладываю логи..
06.06.2008, 11:02
Гриша

Отключите антивирус и восстановление системы!

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\biglow.exe','');
DeleteService('Bbwm66');
QuarantineFile('C:\WINDOWS\system32\basecsiuh32.dll','');
QuarantineFile('c:\windows\system32\userinit.exe','');
DeleteFile('C:\WINDOWS\system32\basecsiuh32.dll');
DeleteFile('Bbwm66.sys');
DeleteFile('C:\WINDOWS\temp\winlogon.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Bbwm66 ');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

Пришлите карантин по правилам,повторите логи.
06.06.2008, 11:27
Luka_

Логи выложил

[B]Результат загрузки[/B]

Файл сохранён как080606_022633_virus_4848e6a9293a2.zipРазмер файла224076MD5dc45acf80a4441163d43b6e5e6fb611d[B]Файл закачан, спасибо![/B]
06.06.2008, 11:34
Гриша

winlogon.exe-[B]Trojan.Win32.Agent.gnv[/B]
biglow.exe-[B]Email-Worm.Win32.Zhelatin.zt[/B]
basecsiuh32.dll-[B]Trojan.Win32.SubSys.dx[/B]
userinit.exe-[B]Trojan.Win32.Agent.qry[/B](его нужно заменить на чистый из дистрибутива)

Выполните в [URL="http://virusinfo.info/showthread.php?t=7239"]AVZ[/URL]:

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\biglow.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10 );
RebootWindows(true);
end.[/CODE]

Повторите логи начиная с п.10 правил
06.06.2008, 11:46
Luka_

Скрипт вылнен, но ноут не может перегрузиться в норм режиме.
логи выкладываю.

Все норм?
06.06.2008, 16:50
AndreyKa

Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
If CheckFile('%System32%\userini.exe') = 3 then
begin
AddToLog('Файл %System32%\userini.exe опознан как безопасный');
CopyFile('%System32%\userini.exe', '%System32%\userinit.exe');
If CheckFile('%System32%\userinit.exe') = 3 then
AddToLog('Файл %System32%\userinit.exe теперь опознан как безопасный')
else
begin
AddToLog('Внимание, файл %System32%\userinit.exe не опознан как безопасный!');
If CheckFile('%System32%\dllcache\userinit.exe') = 3 then
begin
AddToLog('Файл %System32%\dllcache\userinit.exe опознан как безопасный');
CopyFile('%System32%\dllcache\userinit.exe', '%System32%\userinit.exe');
If CheckFile('%System32%\userinit.exe') = 3 then
AddToLog('Файл %System32%\userinit.exe теперь опознан как безопасный') else AddToLog('Внимание, файл %system32%\userinit.exe не опознан как безопасный. Рекомендуется выполнить sfc /scannow');
end else
AddToLog('Внимание, файл %System32%\dllcache\userinit.exe не опознан как безопасный. Рекомендуется выполнить sfc /scannow');
end;
end else
begin
AddToLog('Внимание, файл %System32%\userini.exe не опознан как безопасный!');
If CheckFile('%System32%\dllcache\userinit.exe') = 3 then
begin
AddToLog('Файл %system32%\dllcache\userinit.exe опознан как безопасный');
CopyFile('%System32%\dllcache\userinit.exe', '%System32%\userinit.exe');
If CheckFile('%System32%\userinit.exe') = 3 then
AddToLog('Файл %System32%\userinit.exe теперь опознан как безопасный') else AddToLog('Внимание, файл %system32%\userinit.exe не опознан как безопасный. Рекомендуется выполнить sfc /scannow');
end else
AddToLog('Внимание, файл %System32%\dllcache\userinit.exe не опознан как безопасный. Рекомендуется выполнить sfc /scannow');
end;
SaveLog(GetAVZDirectory + 'userinit.log');
RebootWindows(false);
end.
[/code]
Компьютер перезагрузится.
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к вашей теме вместе с файлом userinit.log из папки AVZ.