Здраствуйте, проблема в следующем, во время нахождения в инете что то скачивается и "ест" мегабайты трафика качается и довольно быстро
Printable View
Здраствуйте, проблема в следующем, во время нахождения в инете что то скачивается и "ест" мегабайты трафика качается и довольно быстро
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\yatool.dll','');
QuarantineFile('C:\DOCUME~1\EC4C~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\System32\winload.dll','');
QuarantineFile('C:\WINDOWS\Tty05.sys','');
DeleteFile('C:\WINDOWS\System32\winload.dll');
DeleteFile('C:\DOCUME~1\EC4C~1\LOCALS~1\Temp\winlogon.exe');
BC_ImportAll;
BC_QrFile('C:\WINDOWS\System32\svchost.exe:exe.exe');
BC_DeleteFile('C:\WINDOWS\System32\svchost.exe:exe.exe');
BC_DeleteSvc('ICF');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=15650[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - C:\WINDOWS\System32\winload.dll (file missing)
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\EC4C~1\LOCALS~1\Temp\winlogon.exe
O22 - SharedTaskScheduler: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - C:\WINDOWS\System32\winload.dll (file missing) [/CODE]
[code]Platform: Windows XP (WinNT 5.01.2600)[/code]
Уже SP3 на подходе, а у Вас вообще сервис паков нет... это ооооочень плохо
у меня в списке логов нет
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\EC4C~1\LOCALS~1\Temp\winlogon.exe
и
O22 - SharedTaskScheduler: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - C:\WINDOWS\System32\winload.dll (file missing)
что делать?
Повторить логи
[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]
C:\WINDOWS\System32\DRIVERS\secdrv.sys - [b]Rootkit.Win32.Agent.pr[/b]
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\System32\DRIVERS\secdrv.sys');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\secdrv.sys');
BC_DeleteSvc('Secdrv');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Вы какой то не такой карантин прислали... перечитайте приложение 3 Правил...
а какие файлы из списка справа(карантина нужно выслать)...я отмечал все
Особенно интересны yatool.dll и Tty05.sys
скинул весь карантин вместе с указанными вами файлами
Указанные файлы в карантин не попали :(
Загрузил по ссылке [url]http://virusinfo.info/upload_virus.php?tid=15650[/url]
карантин именно с этими файлами
Поищите эти файлы вручную через AVZ
yatool.dll и Tty05.sys
Сервис - Поиск файлов на диске
в карантине только ини файлы ...
повторите логи ...
нашел вручную файлы Tty05.sys но они некопируются, пишет сообщения: ошибка при копировании, нет доступа
Этого файла на компьютере нет yatool.dll....что делать?
А если попробовать вручную заархивировать с паролем virus?
Попробовать в Safe mode?
да чета вообще ничего с этими файлами сделать неполучается, "недвижимые" какието(
сделал еще раз логи
-[URL="http://www.wasm.ru/baixado.php?mode=tool&id=392"]скачать[/URL] ...
- отключить антивирус
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\Tty05.sys... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
...
ну и новые логи ...
всё сделал, вот новые логи
нужно повторить то-же самое(пост 16) только удалять нужно C:\WINDOWS\Tty05.sys и C:\WINDOWS\Tty05.sys ....
Сделал...но этоже тоже самое. Файл так и неудалился
давайте новые логи ....
.
Попробуем для начала грохнуть вот это:
выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{54C7D1DD-4296-451e-B756-1E94F665B4FF}');
DelBHO('{3C49DDAC-3DA4-4743-AF6C-5974FEAF875C}');
DeleteFile('C:\WINDOWS\System32\winload.dll');
DeleteFile('C:\WINDOWS\System32\yatool.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После будем разбираться с "неуловимым" Джо (Tty05.sys).
сделал, вот логи
[QUOTE=V_Bond;164669]-[URL="http://www.wasm.ru/baixado.php?mode=tool&id=392"]скачать[/URL] ...
- отключить антивирус
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\Tty05.sys... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
...
ну и новые логи ...[/QUOTE]
Попробуем теперь повторить вот эту операцию в защищ. режиме.
и не забыть про C:\WINDOWS\System32\Drivers\Tty05.sys
всё сделал, вот логи
C:\WINDOWS\System32\Drivers\Tty05.sys - остался, но AVZ его даже не подозревает.
Есть вероятность, что все-таки мы его победили.
Для порядка профиксить:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
Сделать лог HJ.
если это только мусор ....
то этот срипт справится ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\System32\Drivers\Tty05.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Tty05');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
все сделал, вот логи
теперь чисто ....
осталось только это ....
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
а что это?)
Компьютер домашний\рабочий? Для чего используется?
домашний, используется...да ничего конкретного, для всего понемножку
самый главный вопрос локальная сеть есть ?
нет
тогда ...
выполните скрипт ...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
[/code]
комп стал очень сильно тормозить
с чего бы это ? ...
давайте новые логи ..
Теперь у меня при запуске идет какойто автоматический осмотр и я немогу выгрузить свой антивирус, поэтому вё тормозит сильно, ЦП загружен на 100%...незнаю как отключить антивирус и поэтому не делаю логи
[quote]Теперь у меня при запуске идет какойто автоматический осмотр [/quote]
Видимо ваш Симантек вздумал сделать проверку компьютера... Придется подождать, пока он закончит или поискать на том окошке с "осмотром" кнопку Stop.