Здравствуйте!
Уже 2 недели борюсь со всякой гадостью, которая после вроде как успешного лечения возникает вновь...
Не могли бы Вы проконсультировать - кто виноват и что делать? %)
Printable View
Здравствуйте!
Уже 2 недели борюсь со всякой гадостью, которая после вроде как успешного лечения возникает вновь...
Не могли бы Вы проконсультировать - кто виноват и что делать? %)
1. Отключите восстановление системы!
2. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\ldr34.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\Teyo55.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Qoxg59.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Okc30.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Mlx54.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\Xbey38.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\Xbey38.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\ldr34.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\Teyo55.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Qoxg59.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Okc30.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Mlx54.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
3. После перезагрузки пришлите карантин согласно приложению 3 правил.
4. Очистите временные файлы IE.
5. Сделайте новые логи.
По какой-то причине у меня отсутствует закладка "Восстановление системы" в свойствах компьютера, выполнять остальное?
Почему логи сделаны в Safe Mode? В норм. не получилось?
Да. Только выполнять нужно, загрузившись в обычном режиме (не в Safe mode) и с правами локального администратора. Перед выполнением скрипта, предложенного [b]Bratez[/b], отключитесь от сети и отключите антивирусный монитор.
1.По какой-то причине у меня отсутствует закладка "Восстановление системы" в свойствах компьютера, выполнять остальное?
2. Скрипт в AVZ выполнил в safemode с сетевыми дровами, т.к. в обычном режиме вылетает в синий экран во время выполнения скрипта.
3. После перезагрузки послал карантин согласно приложению 3 правил
Компьютер "живёт" в домене и авторизоваться при отключенной сети даст только в safemode
4. Очистил куки и временные файлы IE.
Эти два лога? или syscure тоже надо сделать?
Видно, что скрипт выполнен успешно, но все же сделайте syscure для полной уверенности. Как самочувствие больного?
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[quote]>>> F:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)[/quote]
Диск F - это CD?
нет, это флешка, отключить? или нехай с ней?
Пришлите по правилам F:\autorun.inf
авторан загружен
Станд. "самоход" в autorun. Задача будет такая: чистить все съемные диски от autorun.inf
1. На этот раз syscure прошёл в обычном режиме (не в сейфе)
2. Перегрузился и сделал syscheck
3. я правильно понял? autorun - инфицирован? можно просто их поубивать со всех дисков без помещения в корзину? или это будет неправильно?
Запустите проводник, включите показ скрытых и системных файлов и на всех дисках ищите и удаляйте:
\autorun.inf
\Recycled\ctfmon.exe
выбирая диски строго по дереву в левой части окна.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\Uxq51.sys');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\EVY7C1KZ\n2_18_09_07_0[2].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\EVY7C1KZ\n2_18_09_07_0[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
И вот напоследок:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
[/code]
Что из этого не нужно - надо отключить.
на жёстких дисках вместо корзины была папка RECYCLER, в ней по 2 раза desktop.ini - убиты
на флешке корзина была - теже файлы, убиты
авторан был только на флешке,
\Recycled\ctfmon.exe убил неделю назад %)
[quote]авторан был только на флешке,
\Recycled\ctfmon.exe убил неделю назад %)[/quote]
Значит опасности уже не было. Что ж, в нашем деле лучше перебдеть... ;)
скрипт выполнил, пегрегрузился
отключил автозапуск сдром и удалённый реестр, остальное - ? что такое SSDP?
[url]http://oszone.net/5681/Windows_Services[/url] - обо всех службах.
спасибо за ссылку, лишнее поотключал, однако остался ряд неприятных моментов:
1. Отсутствует закладка с восстановлением системы
2. неудаётся включить брандмауер, сдаётся мне, что после лечения его антивирусами
это лечится? %)
[URL="http://support.microsoft.com/kb/841568/ru"]восстановление системы[/URL]
[URL="http://support.microsoft.com/kb/920074/ru"]брандмауэр[/URL]