Сканировал доктором вебом, одновления сегодняшние. Нашел файл зараженный этим вирем в c:\windows\temp файл вида bn25.tmp Вылечить его не смог, предложил только удалить, что я и сделал.
AVZ ничего не нашел.
Printable View
Сканировал доктором вебом, одновления сегодняшние. Нашел файл зараженный этим вирем в c:\windows\temp файл вида bn25.tmp Вылечить его не смог, предложил только удалить, что я и сделал.
AVZ ничего не нашел.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Bgl27', 'Start');
RebootWindows(true);
end.[/code]
Затем еще один:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Bgl27');
SetServiceStart('Bgl27', 4);
QuarantineFile('c:\windows\system32\..\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Bgl27.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Bgl27.sys');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('C:\Documents and Settings\Popov-vi\Local Settings\Temp\catchme.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=16560[/url]).
Сделайте новые логи.
поблема сохранилась. При загрузке системы докторвеб находит подобный файлик и лечит его...
Нужен лог syscheck (п.10 правил).
вот
Не поддается...
Выполните такой скрипт:
[code]
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Bgl27\0000', 'CSConfigFlags', '1');
BC_QrFile('C:\WINDOWS\System32\drivers\Bgl27.sys');
BC_DeleteSvc('Bgl27');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Bgl27.sys');
BC_DeleteSvc('smtpdrv');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки прикрепите файл [b]boot_clr.log[/b] из папки с AVZ и повторите лог syscheck.
готово, но файла [B]boot_clr.log[/B] в папке нет.. и вообще в системе не обнаружен :(
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
[SIZE=2][COLOR=#ff0000]Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\smtpdrv.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\smtpdrv.sys)
Карантин с использованием прямого чтения - ошибка
[/COLOR][/SIZE]
не дает запустить AVZPM
Все же откройте просмотр карантина, там в самом деле пусто?
да он то в принципе и не нужен .... пробуйте так ... (скрипт подправил)
он выдает это сообщение и все... в карантине три файла с расширением .bak .. этот карантин я скидывал в начале..
пришлите посмотрим что в ini написано ...
ушло
вообще вы что -то не то прислали ...
это все, что есть в карантине... а эти два файла, по скрипту не добавляются в карантин... авз выдает ошибку... указанную выше
Попробуйте так:
[code]
begin
ClearQuarantine;
BC_QrFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
BC_QrFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_DeleteSvc('smtpdrv');
BC_Activate;
RebootWindows(true);
end.[/code]
при выполнении скрипта ничего не происходит. После перезагрузки карантин все так же пуст :(
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
файл Ip6Fw.sys сейчас располагается в c:\windows\system32\dllcache
smtpdrv.sys - удален, на разделе с: не обнаруживается, либо хитро запрятан
c:\windows\system32\dllcache\Ip6Fw.sys на всякий случай пришлите, хотя он вряд ли плохой. smtpdrv.sys должен был удалиться последним скриптом. Сделайте еще раз лог syscheck, наверно на этом дело будет окончено.
готово!
Ip6Fw.sys чистый, smtpdrv удален, так что все ОК.
Напоследок рекомендую отключить все что вам не нужно из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
ок! большое спасибо!!
Вот скрипт для отключения ненужного:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
Если есть локалка с общим доступом к файлам и принтерам, то уберите из скрипта первую строчку после begin.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]