в логах чисто...
Printable View
в логах чисто...
Хорошие новости. Спасибо. Тогда, пока все
Посмотрите еще пожалуйста
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11883[/url]
что из этого вам нужно?остальное пофиксим
[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: разрешен автоматический вход в систему[/QUOTE]
Скрипт прогнал. Карантин выслал.
Это можно запретить
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
C:\WINDOWS\system32\ntkrnlpa.exe
Sunbelt 2.2.907.0 2007.09.15 VIPRE.Suspicious
Webwasher-Gateway 6.0.1 2007.09.14 Win32.Malware.gen (suspicious)
C:\WINDOWS\system32\ntoskrnl.exe
Sunbelt 2.2.907.0 2007.09.15 VIPRE.Suspicious
Webwasher-Gateway 6.0.1 2007.09.14 Win32.Malware.gen (suspicious)
подождем вердикт вирлаба .....
C:\WINDOWS\system32\DRIVERS\tcpip.sys -чистый
выполните скрипт ...
[code]
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.
[/code]
выполнил
Стало хуже. Комп перегружается. Фаерволом заблоблокировал Explorer, который слал исходящее.
[QUOTE=OlegXON;135092]Стало хуже. Комп перегружается. Фаерволом заблоблокировал Explorer, который слал исходящее.[/QUOTE]
не знаю после чего хуже ... ничего не делалось ... (устранили только потенциальные уязвимости)
C:\WINDOWS\system32\ntkrnlpa.exe- [B]Trojan-Dropper.Win32.Agent.bwf[/B],
C:\WINDOWS\system32\ntoskrnl.exe - [B]Trojan-Dropper.Win32.Agent.bwg[/B]
искать диск с дистрибутивом и заменять оба ...
Файлы еще не заменял. Explorer.exe продолжает гнать трафик. Комп постоянно зависает. ДрВеб нашел в корне трояна
Trojan-Dropper - предназначен для установки в систему других зловредов ... пока не разберемся с ними ,остальное лечить нет смысла...
ntoskrnl.exe заменил из дистрибутива.
ntkrnlpa.exe на диске нет
В дистрибутиве есть только NTKRNLMP.EX_. Его я тоже заменил
Кроме того на винте есть еще ntkrpamp.exe, которого на диске тоже нет.
Небольшой прогресс - Эксплорер.ехе больше не грузит трафик.
возьмите этот [URL="http://slil.ru/24863947"]ntkrnlpa.exe [/URL]
Спасибо за ссылку. Файл заменил
повторите логи....
новые логи
в логах больше ничего подозрительного нет.
BackDoor.PSClient - еще один вирус, а может и не один - посмотрите пожалуйста.
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\tlhelp32.exe','');
QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\sfc_os.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения з правил ...
Закачал