Printable View
Доброй всем ночи!:)
В сеть пролез червяк, shadow.based по классификации DrWeb, после генеральной уборки на одной из машин обнаружил службу с названием jkgih, описание у нее такое же как и у secondary logon, т.е. позволяет запускать процессы от имени другого пользователя, при попытке остановить ее выдает отказ в доступе. syscheck сделан без доступа в интернет, т.к. сервер с АД остановлен.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\ZoEFiE.exe','');
DeleteFile('c:\ZoEFiE.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Msn');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MsnHost');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MsnLoad');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MsnMessendger');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MsnConvert');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MsnLoad');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MsnHost');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Msn');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MsnMessendger');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][U][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/U][/B]" над первым сообщением темы)
Сделайте новые логи + [url=http://virusinfo.info/showthread.php?t=40118]лог GMER[/url]
Вот все логи, не думал что gmer настолько затянется :(
перепутал логи счас добавлю
упс
Некоторые сообщения были вынесены в отдельную тему [url]http://virusinfo.info/showthread.php?t=58679[/url]
Сохраните текст ниже как cleanup.bat в ту же папку, где находится 6e3p47e1.exe (gmer)
[CODE]6e3p47e1.exe -del service alcvndpe
6e3p47e1.exe -del service iplvxou
6e3p47e1.exe -del file "C:\WINDOWS\system32\pxuxgbxg.dll"
6e3p47e1.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\alcvndpe"
6e3p47e1.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\iplvxou"
6e3p47e1.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\alcvndpe"
6e3p47e1.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\iplvxou"
6e3p47e1.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Прошу прощения за задержку, машина была занята работой.
вот новый лог gmer.
В логах ничего подозрительного. Жалобы есть?
Да вроде четверг-пятницу-субботу отработал без проблем, тормозов и перезагрузки небыло, спасибо
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]