-
выполните скрипт ....
[code]
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\wowfx.dll','');
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bot.dll','');
QuarantineFile('Qby41.sys','');
QuarantineFile('c:\windows\system32\svchost.exe','');
DeleteFile('C:\WINDOWS\system32\Drivers\asc3550p.sys');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\system32\wowfx.dll');
BC_QrSvc('Qby41');
BC_DeleteSvc('asc3550p');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришдите карантин согласно приложения 3 правил ...
-
Фуф.. Вот логи.) Там все также жутко.
-
Если надо могу заново сделать протокол служб.
-
Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - Winlogon Notify: botreg - C:\WINDOWS\
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Меню\Application Data\printer.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Qby41.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Kkt51.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Fhy58.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Qby41.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Qby41.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Fhy58.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Kkt51.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Qby41.sys');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\Documents and Settings\Меню\Application Data\printer.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи.
-
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Этого не было.
Карантин - virus.zip? Хорошо.
-
Хех.. Вот логи.) Сейчас выложу карантин.
-
Удалите Outpost (это обязательно!)
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
QuarantineFile('C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE','');
end.[/CODE]Загрузите карантин по [URL="http://virusinfo.info/upload_virus.php?tid=15997"]этой[/URL] ссылке. Попробуйте сделать логи в нормальном режиме.
-
Аутпост удалил. Карантин выложить после создания логов, один я выкладывал в 4 утра вместе с логами. Сейчас попробую.
-
Вложений: 3
Запустил скрипт, все нормально сработало. Логи удалось сделать без safe mode. Карантин сейчас выложу.
-
Карантин - 080106_044636_virus_4780b18c64196.zip
-
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\system32\users32.dat','');
DeleteFile('C:\windows\system32\users32.dat');
BC_ImportDeletedList;
BC_DeleteSvc('Qby41');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Если карантин будет не пуст - пришлите по правилам.
Посмотрите, нужно ли что-нибудь из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Лишнее отключим.
Какие еще проблемы остались?
-
Хорошо сейчас сделаю все это. Из этих служб, кроме административного доступа больше не нужно ничего.)
Вроде больше никаких проблем..
-
Тогда такой скрипт:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
и сделайте лог syscheck для контроля.
-
syscheck - это стандарт. скрипт 2, или для контроля это что-то другое?
В карантине после того как запускал
[quote] begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\system32\users32.dat','');
DeleteFile('C:\windows\system32\users32.dat');
BC_ImportDeletedList;
BC_DeleteSvc('Qby41');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/quote]
лежит users32.dat, его выложить?
-
Вложений: 1
Надеюсь это тот лог, что нужен.
-
Меня беспокоит ваш [b]c:\windows\system32\svchost.exe[/b], который не проходит по базе безопасных. Его уже карантинили выше, но по-моему, никто так и не проверил (я карантины не качал из-за большого размера ;)). Пришлите этот файл отдельно - по правилам, разумеется.
-
Хорошо, сейчас выложу. У меня были когда-то с этим файлом проблемы, он загружал соединение и отправлял массу запросов(пытался) на удаленные ip.
080106_052700_virus_4780bb043edf4.zip - вот он.
-
Да, users32.dat из карантина пришлите.
syscheck - станд. скрипт #2, правильно.
-
Вот они оба.
080106_052945_virus_4780bba976fee.zip
Этот лог в 35-ом посте.
-
users32.dat - [b]not-a-virus:AdWare.Win32.Agent.zo[/b]
svchost.exe - [b]Trojan.Win32.Patched.bh[/b]
Первый мы уже удалили, второй может вылечить KAV 7.0, либо надо его заменить на оригинальный с помощью консоли восстановления или Boot CD.
Page generated in 0.01403 seconds with 10 queries