да, совершенно верно!
хм, я выполнял скрипт на рабочей ОС, сейчас выполню в безопасном режиме, может, что изменится
Printable View
да, совершенно верно!
хм, я выполнял скрипт на рабочей ОС, сейчас выполню в безопасном режиме, может, что изменится
Скрипт выполнять на проблемной!!! И перезагрузка после скрипта - в проблемную!
Потом карантин и новый доп. лог в студию.
будет исполнено! Извините за глуповатость в этом деле!:-)
Выполнил скрипт на проблемной ОС в Безопасном режиме - не помогло. Загружаюсь на проблемной ОС в нормальном режиме - перезагружается. Поэтому сделал дополнительный лог и карантин в безопасном режиме на проблемной ОС. Карантин закачал и вот лог.
1. А где *.dat файлы из карантина? Антивирус съел??
2. Лог не тот запаковали, надо не xml а html.
вот по поводу карантина - да, наверное, антивирус съел!
Сейчас отправлю html
вот он
Положительные сдвиги налицо. А в папке Quarantine антивирус тоже все съел? Что ж он тогда вашу систему не вылечил? ;)
Выполните такой скрипт из безопасного режима:
[code]
begin
DeleteFile('E:\WINDOWS\system32\_svchost.exe -A');
DeleteFile('E:\Program Files\WinAble\winable.exe');
DeleteFile('E:\WINDOWS\System32\lanmanwrk.exe');
DeleteFile('E:\WINDOWS\System32\ocxloader.exe');
DeleteFile('E:\WINDOWS\Temp\startdrv.exe');
DeleteFile('E:\WINDOWS\tsitra801.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Msxt80');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
При перезагрузке входите в нормальный режим и снова пробуйте делать стандартные логи.
вдогонку еще выполните такой скрипт...
[code]
begin
QuarantineFile('E:\WINDOWS\System32\lanmandrv.sys','');
DeleteFile('E:\WINDOWS\System32\lanmandrv.sys');
BC_DeleteSvc('lanmandrv');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
Это радует!:-) Сейчас выполню логи!А по поводу антивируса - не знаю, даже не могу ответить на Ваш вопрос, потому что этот антивирус как-то выборочно лечит, да и не лечит толком, только удаляет. Странно, конечно, ведь Symantes стоит.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
:)Спасибо за второй скрипт!Сейчас всё выполню!
Загрузилась ОС. Так что сделал полноценные логи. А карантин закачать?
карантин загрузите по ссылке ... [url]http://virusinfo.info/showthread.php?t=12978[/url]
Отключите восстановление системы!
Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Microsoft Internet Explorer] E:\WINDOWS\system32\_svchost.exe
O20 - Winlogon Notify: partnershipreg - E:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)
[/code]
Обновите базы AVZ и сделайте логи еще раз.
карантин закачал :-) И восстановление системы отключил
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
сейчас всё сделаю
Выкладываю получившиеся логи.
Очистите временные файлы IE.
Выполните скрипт в AVZ:
[code]
begin
DeleteFile('E:\WINDOWS\system32\update281.exe');
DeleteFile('E:\WINDOWS\system32\drivers\symavc32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите из карантина AVZ файл
E:\WINDOWS\system32\drivers\ip6fw.sys
Посмотрите, что вам нужно из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Что не нужно - поправим.
карантин закачал
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
вот эти 3 нужны
Ну вот наверно последний скрипт:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\WINDOWS\system32\drivers\ip6fw.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
И финальные логи - в студию!
ip6fw.sys -[B]Trojan-Downloader.Win32.Agent.acl[/B]
А вот и они!Финальные логи!:)