Здравствуйте!
Симантек ругается на рассылку сообщений с этого компьютера.
Посмотрите, пожалуйста, логи.
Заранее благодарен.:)
Printable View
Здравствуйте!
Симантек ругается на рассылку сообщений с этого компьютера.
Посмотрите, пожалуйста, логи.
Заранее благодарен.:)
[QUOTE=ghostil;249492]
Симантек ругается на рассылку сообщений с этого компьютера.
[/QUOTE]А на выползающих из ПК крокодилов Вы еще не наступаете? ;)
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [runservices] D:\WINDOWS\services.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D99B046-A7B8-4D3B-82D7-FCEE4B776076}: NameServer = 85.255.115.61,85.255.112.113
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C41AD8F-C212-439B-9D60-37AA195012BD}: NameServer = 85.255.115.61,85.255.112.113
O17 - HKLM\System\CCS\Services\Tcpip\..\{A42CE03E-8B09-4DB9-A9CB-EAA6C1FD2F33}: NameServer = 85.255.115.61,85.255.112.113
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113
O17 - HKLM\System\CS1\Services\Tcpip\..\{3D99B046-A7B8-4D3B-82D7-FCEE4B776076}: NameServer = 85.255.115.61,85.255.112.113
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113
O17 - HKLM\System\CS2\Services\Tcpip\..\{3D99B046-A7B8-4D3B-82D7-FCEE4B776076}: NameServer = 85.255.115.61,85.255.112.113
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Google Online Services');
StopService('Oua16');
DeleteService('Oua16');
DeleteService('Google Online Services');
TerminateProcessByName('d:\windows\services.exe');
TerminateProcessByName('d:\documents and settings\cbb\ie_updates3r.exe');
RegKeyDel('HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, msvecurity',' ');
RegKeyDel('HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, runservices',' ');
RegKeyDel('HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System',' ');
QuarantineFile('D:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('D:\WINDOWS\msvecurity.exe','');
QuarantineFile('D:\WINDOWS\system32\kdwsb.exe','');
QuarantineFile('kdwsb.exe','');
QuarantineFile('D:\WINDOWS\System32\Drivers\Oua16.sys','');
QuarantineFile('D:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('D:\WINDOWS\system32\Drivers\Oua16.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\mickey32.sys','');
QuarantineFile('D:\WINDOWS\services.exe','');
QuarantineFile('D:\Documents and Settings\CBB\ie_updates3r.exe','');
QuarantineFile('d:\windows\services.exe','');
QuarantineFile('d:\documents and settings\cbb\ie_updates3r.exe','');
DeleteFile('d:\documents and settings\cbb\ie_updates3r.exe');
DeleteFile('d:\windows\services.exe');
DeleteFile('D:\Documents and Settings\CBB\ie_updates3r.exe');
DeleteFile('D:\WINDOWS\services.exe');
DeleteFile('D:\WINDOWS\system32\drivers\mickey32.sys');
DeleteFile('D:\WINDOWS\system32\Drivers\Oua16.sys');
DeleteFile('D:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Oua16.sys');
DeleteFile('D:\WINDOWS\system32\kdwsb.exe');
DeleteFile('kdwsb.exe');
DeleteFile('D:\WINDOWS\msvecurity.exe');
DeleteFile('D:\Program Files\Microsoft Common\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(7);
ExecuteRepair(13);
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
хех, сарказм принят =)
[size="1"][color="#666686"][B][I]Добавлено через 36 секунд[/I][/B][/color][/size]
сейчас всё сделаю
[QUOTE=ghostil;249542]хех, сарказм принят =)[/QUOTE]Так Вы ж наш частый клиент ;)
Вот новые логи! Прошу посмотреть их, пожалуйста!:)
Я бы даже сказал больше, постоянный... Но всё связано с тем, что я админю офис маленькой фирмы, руководство которой настолько глупо, что даже не хочет ставить пароли на вход в систему. Поэтому пользователи так часто и заражаются!=(
Я бы сам с удовольствием учил, но в студенты меня уже третий месяц почему-то не берут.
В общем, скоро перестану, я думаю, Вас мучать, поскольку через 2 недели я уволюсь. =)
Но, надеюсь, что в ряды студентов меня, всё-таки, примут! =)
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
да, вот ещё какой момент возник, когда я выполнял скрипт - появился синий экран смерти. Я перезагрузился.Ошибка следующая: 7023, источник Service Control Manager. Сообщение такое: Служба "Обозреватель компьютеров" завершена из-за ошибки
Возврат из операции произошел из-за превышения времени ожидания.
[size="1"][color="#666686"][B][I]Добавлено через 47 секунд[/I][/B][/color][/size]
сейчас всё работает нормально. В логах чисто?
[QUOTE=ghostil;249552]Я бы даже сказал больше, постоянный...[/QUOTE]
Но мы ведь понимаем, что это не Ваши личные компъютеры :)
[QUOTE]Но, надеюсь, что в ряды студентов меня, всё-таки, примут! =)[/QUOTE]Будем надеяться ;)
[QUOTE=ghostil;249552]В логах чисто?[/QUOTE]Ну это уже преувеличение :D
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]Unbekannt
O4 - HKLM\..\Run: [D:\WINDOWS\system32\kdwsb.exe] D:\WINDOWS\system32\kdwsb.exe
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Oua16');
RegKeyDel('HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, msvecurity',' ');
RegKeyDel('HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, D:\WINDOWS\system32\kdwsb.exe',' ');
RegKeyDel('HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System',' ');
QuarantineFile('D:\WINDOWS\services.exe','');
QuarantineFile('D:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('D:\WINDOWS\msvecurity.exe','');
QuarantineFile('D:\WINDOWS\system32\kdwsb.exe','');
QuarantineFile('D:\WINDOWS\System32\Drivers\Oua16.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\mickey32.sys','');
DeleteFile('D:\WINDOWS\system32\drivers\mickey32.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Oua16.sys');
DeleteFile('D:\WINDOWS\system32\kdwsb.exe');
DeleteFile('D:\WINDOWS\msvecurity.exe');
DeleteFile('D:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('D:\WINDOWS\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- Сделайте повторные логи по правилам.
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
Здравствуйте!
Карантин я загрузил, вот выкладываю логи.
Но возник ряд проблем в момент выполнения скриптов.
После выполнений написанного вами скрипта у компьютера опять появился синий экран смерти.
Я перезагрузил. Выполнил скрипт для п.3.
Затем перезагружаю систему, а на рабочем на столе ни одного ярлыка. Даже панели "Пуск" нет.
В общем, доделал я логи при помощи "Диспетчера задач".
Посмотрите их, пожалуйста. :)
Вот решил напомнить о себе. =) Помогите, пожалуйста.
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 13 минут[/I][/B][/color][/size]
неужели, действительно, забыли!=(
[size="1"][color="#666686"][B][I]Добавлено через 54 минуты[/I][/B][/color][/size]
Вы мне сегодня не поможете?
В логах все на месте, как будто и не выполняли ничего.
1. Запустите AVZ, выберите Файл - Восстановление системы - п.9 - Выполнить. Перезагрузитесь.
2. С помощью Ice Sword сделайте Force Delete для
D:\WINDOWS\system32\drivers\mickey32.sys
D:\WINDOWS\system32\kdwsb.exe
D:\WINDOWS\services.exe
3. Выполните еще раз скрипт из сообщения 7.
4. Повторите логи.
спасибо большое!
[size="1"][color="#666686"][B][I]Добавлено через 44 минуты[/I][/B][/color][/size]
Выполнил всё, что вы сказали.
Но когда скрипт начинает выполняться опять вылетает синий экран смерти и приходится перезагружаться!
Не подскажете, что тут можно сделать?
Перед запуском скрипта обязательно отключайте антивирус.
Если не поможет, уберите из скрипта две строки после begin:
[i]SearchRootkit(true, true);
SetAVZGuardStatus(True);[/i]
и выполните в таком виде.
спасибо, сейчас попробую!
services.exe_ - Trojan-Proxy.Win32.Agent.aqy (свежий)
Trojan-Mailfinder.Win32.Agent.ia
- то, что у Вас есть или было.
Смог я выполнить скрипт и сделал новые логи!
В карантине ничего нет.
Посмотрите логи, пожалуйста.
Все нормально. Последний штрих:
выполните скрипт
[code]begin
RegKeyParamDel( 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'System');
RebootWindows(true);
end.[/code]
Логи можно не повторять.
спасибо!!!!=)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\program files\\microsoft common\\svchost.exe - [B]Trojan-Mailfinder.Win32.Agent.ia[/B] (DrWEB: Win32.HLLW.Autoruner.2634)[*] d:\\windows\\services.exe - [B]Trojan-Proxy.Win32.Agent.aqy[/B] (DrWEB: Trojan.Packed.573)[/LIST][/LIST]