помогите выгнать чертей

Printable View

14.01.2008, 18:53
aleex17

помогите выгнать чертей

сделал файл отсчета с авз
посмотрите его пожалуйста и скажите какие дальше действия принимать:rolleyes:
14.01.2008, 18:55
akok

Где файлы AVZ? Невижу!
14.01.2008, 18:57
drongo

[quote=akoK;172000]Где файлы AVZ? Невижу![/quote]
Черти их сожгли :biggrin:
14.01.2008, 19:01
aleex17

Файл сохранён как 080114_095624_virus_478b8628f19f2.zip
Размер файла 1415168
MD5 2bff2df209fb2514c63a66e64fc79545

[url]http://virusinfo.info/showthread.php?t=16400[/url]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

правильно выставил
увидели файл авз
14.01.2008, 19:02
akok

Пацталом
Это ссылка для загрузки КАРАНТИНА. Логи надо постить в сообщение...
14.01.2008, 19:21
aleex17

как добавлять в сообщение логи

приведите пример пожалуйста:xmas:
14.01.2008, 19:26
rubin

[URL=http://radikal.ru/F/i019.radikal.ru/0801/29/f2b83fce6708.jpg.html][IMG]http://i019.radikal.ru/0801/29/f2b83fce6708t.jpg[/IMG][/URL]
14.01.2008, 19:28
drongo

[url]http://virusinfo.info/showthread.php?t=11022[/url]
14.01.2008, 19:29
akok

Ждал, занимался аутотренингом (я спокоен, я спокоен)
ПРАВИЛА ЧИТАТЬ НАДО
[url]http://virusinfo.info/showthread.php?t=11022[/url]
Там все есть
14.01.2008, 19:30
drongo

Чтобы вложить файл в новое сообщение, нажмите кнопку "Управление вложениями" внизу страницы создания сообщения, и выберите файл, который хотите вложить.
14.01.2008, 20:02
aleex17

во вроде получилось

жду ваших мыслей по поводу изгнания чертей
господа:smile:
14.01.2008, 20:11
rubin

Выполните в AVZ:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('DevDetect.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Myc23.sys','');
QuarantineFile('C:\WINDOWS\System32\lanmandrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Dll.dll','');
QuarantineFile('c:\windows\system32\lanmanwrk.exe','');
QuarantineFile('c:\windows\system32\kerneldrv.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\System32\KernelDrv.exe');
DeleteFile('C:\WINDOWS\System32\lanmanwrk.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
BC_QrFile('C:\WINDOWS\System32\drivers\Myc23.sys');
BC_DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteSvc('lanmandrv');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('smtpdrv');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Карантин пришлите

[size="1"][color="#666686"][B][I]Добавлено через 31 секунду[/I][/B][/color][/size]

Плюс выключите восстановление системы
14.01.2008, 20:27
aleex17

пишет что скрипт выполнен правильно
нажимаешь ок и комп перегружается сам
14.01.2008, 20:28
rubin

Все верно.
Пришлите карантин сюда
[url]http://virusinfo.info/upload_virus.php?tid=16400[/url]
14.01.2008, 20:37
aleex17

отправил

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

жду от вас ответа
14.01.2008, 20:51
rubin

DevDetect.exe в карантин не попал - поищите через AVZ и тоже пришлите

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Плюс сделайте повторные логи... проверим как остальное удалилось

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Dll.dll
[code]Microsoft 1.3109 2008.01.14 Trojan:Win32/Laqma.B
Panda 9.0.0.4 2008.01.14 Suspicious file[/code]
14.01.2008, 21:05
aleex17

как удалить Dll.dll
(DevDetect.exe в карантин не попал - поищите через AVZ и тоже пришлите)
как его найти -где его поискать
14.01.2008, 21:13
V_Bond

искать так авз - сервис - поиск файлов на диске .... DevDetect.exe ... и прислать согласно приложения 3 правил ... ( а правила так и не читали) ....
14.01.2008, 21:14
aleex17

[url]http://virusinfo.info/upload_virus.php?tid=16400[/url]
перегрузил сюда карантин посмотрите пожалуйста
как удалить Dll.dll
14.01.2008, 21:53
V_Bond

поищите DevDetect.exe ... не искали ?
сделайте новые логи ...
14.01.2008, 22:06
aleex17

C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe скопирован в карантин
от просмоторщика чото других никак не находит

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

да самое интересное что ставишь напротив него птичку
жмешь добавить в карантин
в него заходишь а там пусто
14.01.2008, 22:21
V_Bond

ок значит в базе безопасных .... давайте новые логи ...
14.01.2008, 23:05
aleex17

новый лог посмотри

новый лог
14.01.2008, 23:40
V_Bond

выполнить скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Myc23');
QuarantineFile('C:\WINDOWS\System32\drivers\Myc23.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\Myc23.sys');
BC_DeleteSvc('Myc23');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите лог ....
15.01.2008, 17:47
aleex17

после запуска кода происходит перегрузка
захожу в карантин а он пустой
какие дальнейшие действия
15.01.2008, 17:50
V_Bond

давайте новые логи .... посмотрим удалось ли справиться со зловредом ...
15.01.2008, 18:00
aleex17

Помогите загрузить explorer возможно черви

Перестал работать e браузер,внизу справа заполняется зеленая полоса полностью и браузер виснет,сейчас пользуюсь мозилой но надеюсь востановить internet explorer c вашей помощью.
15.01.2008, 18:22
aleex17

вот посмотри логи

:xmas:
15.01.2008, 18:29
V_Bond

в логе ничего зловредного ....
надеюсь проблем больше нет ... ?
что из этого используется ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
15.01.2008, 18:31
Макcим

[B]aleex17[/B], не вводите в заблуждение хелперов, создавая одинаковые темы.
15.01.2008, 18:42
aleex17

ничего я из этого не использую

[quote=V_Bond;172629]в логе ничего зловредного ....
надеюсь проблем больше нет ... ?
что из этого используется ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/quote]
просто комп стоит даже не в сетке подкдючен к адсл
не играю просто для работы
как че из этого выключить не знаю

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[quote=Maxim;172632][B]aleex17[/B], не вводите в заблуждение хелперов, создавая одинаковые темы.[/quote]
тема совсем другая и другой комп
просто под этим же логином зашел
ПРОСЬБА ВОСТАНОВИТЬ СОЗДАННУЮ МНОЙ СЕГОДНЯ ТЕМУ
15.01.2008, 18:48
drongo

создай заново- надо новые логи от другой системы там же .

[SIZE=1][COLOR=#666686][B][I]Добавлено через 3 минуты[/I][/B][/COLOR][/SIZE]

в логе есть линки , нажмёшь и получиться:
[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]если один комп, то по идее всё можно отключить.

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] это позволяeт делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
15.01.2008, 18:51
Макcим

[QUOTE=aleex17;172636]тема совсем другая и другой комп
просто под этим же логином зашел
ПРОСЬБА ВОСТАНОВИТЬ СОЗДАННУЮ МНОЙ СЕГОДНЯ ТЕМУ[/QUOTE]Так надо об этом сообщать и прикладывать логи.
29.01.2008, 18:34
aleex17

помогите убить зверей
карантин ща выложу
29.01.2008, 20:07
V_Bond

выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\System32\KernelDrv.exe','');
QuarantineFile('D:\WINDOWS\system32\mmssyziyz.dll','');
QuarantineFile('D:\WINDOWS\system32\mswmsys.dll','');
QuarantineFile('D:\WINDOWS\system32\ntos.exe','');
QuarantineFile('ovrscn.dll','');
QuarantineFile('D:\WINDOWS\system32\ovrscn.sys','');
QuarantineFile('D:\WINDOWS\system32\ovwscn.sys','');
QuarantineFile('D:\WINDOWS\System32\lanmandrv.sys','');
QuarantineFile('d:\windows\system32\lanmanwrk.exe','');
DeleteFile('d:\windows\system32\lanmanwrk.exe');
DeleteFile('D:\WINDOWS\System32\lanmandrv.sys');
DeleteFile('D:\WINDOWS\system32\ovwscn.sys');
DeleteFile('D:\WINDOWS\system32\ovrscn.sys');
DeleteFile('ovrscn.dll');
DeleteFile('D:\WINDOWS\system32\ntos.exe');
DeleteFile('D:\WINDOWS\system32\mmssyziyz.dll');
DeleteFile('D:\WINDOWS\System32\KernelDrv.exe');
BC_DeleteSvc('ovrscn');
BC_DeleteSvc('ovwscn');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
сделайте полный коплект логов ...