Стол пропал

Printable View

08.04.2008, 17:51
lop

Стол пропал

В процессе борьбы с вирусами, точнее троянами, пропало содержимое рабочего стола. Восстанавливаю, перегружаю комп - опять пропадает. Хотя Куреит вроде ничего больше не находит, но чуствую, есть он, как тот суслик.
08.04.2008, 17:56
PavelA

От такого количества зверья все что угодно пропасть может
Вот скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('ovrscn.dll','');
QuarantineFile('ke64boot.dll','');
QuarantineFile('c:\windows\system32\windres.exe','');
QuarantineFile('c:\windows\system32\undname.exe','');
QuarantineFile('c:\windows\system32\pdbcopy.exe','');
QuarantineFile('c:\windows\system32\ndetect.exe','');
QuarantineFile('C:\WINDOWS\system32\tmp_vf.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\ksys.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\ctl_w32.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\ctl_w32.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\WINDOWS\system32\tmp_vf.dll');
DeleteFile('c:\windows\system32\ndetect.exe');
DeleteFile('c:\windows\system32\pdbcopy.exe');
DeleteFile('c:\windows\system32\undname.exe');
DeleteFile('c:\windows\system32\windres.exe');
DeleteFile('ke64boot.dll');
DeleteFile('ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Загрузить весь карантин. Сделать новые логи.
08.04.2008, 18:10
lop

Спасибо.

Скрипт выполнил. Теперь после скрипта лечения/карантина перегружать нужно?
08.04.2008, 18:14
PavelA

Должна была сама перезагрузиться после моего скрипта.
Да, и после стандартного тоже.
08.04.2008, 18:17
drongo

Вообще то да, написано в правилах. ;)

Давайте такой скрипт выполните, чтобы вернуть ваш стол :
[code]begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RebootWindows(true);
end.
[/code]
08.04.2008, 18:27
lop

Вот, сделанное до последнего скрипта, с перезагрузкой

последний выполнил, ещё раз логи?
08.04.2008, 18:31
lop

Стол пустой, хотя в папке того пользователя, под которым я вроде вхожу ("C:\Documents and Settings\statserver.ROLAND\Рабочий стол"), ярлыки есть.
08.04.2008, 18:34
PavelA

Карантин прислал?
08.04.2008, 18:34
Rene-gad

[QUOTE=lop;212876]Стол пустой, хотя в папке того пользователя, под которым я вроде вхожу ("C:\Documents and Settings\statserver.ROLAND\Рабочий стол"), ярлыки есть.[/QUOTE]
Да у Вас трояны не только ярлыки, но сам стол вынести в состоянии ;)
Пофиксите
[CODE]O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
O20 - Winlogon Notify: ati2paag - ati2paag.dll (file missing)
O20 - Winlogon Notify: ke64boot - C:\WINDOWS\
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\
O23 - Service: FCI FCIaspnet_state (FCIaspnet_state) - Unknown owner - C:\WINDOWS\system32\w32drv10.exe (file missing)
O23 - Service: Microsoft Inet Service - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)[/CODE]
Еще один скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\fwdrv.sys','');
DeleteService('fwdrv.sys');
StopService('fwdrv.sys');
QuarantineFile('C:\WINDOWS\system32\SoUI.dll','');
QuarantineFile('C:\WINDOWS\system32\rtnka.dll','');
DeleteFile('C:\WINDOWS\system32\rtnka.dll');
DeleteFile('C:\WINDOWS\system32\SoUI.dll');
DeleteFile('C:\fwdrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
08.04.2008, 18:37
lop

Извините, сегодня уже не смогу - выгоняют из помещения. Завтра!
08.04.2008, 18:49
Rene-gad

[QUOTE=lop;212880]Извините, сегодня уже не смогу - выгоняют из помещения. Завтра![/QUOTE]
нам не к спеху :)
09.04.2008, 10:13
lop

[quote=PavelA;212877]Карантин прислал?[/quote]
Да, как было написано в правилах, через ссылку наверху темы. Потом пофиксил указанное и выполнил последний скрипт, после чего комп перегрузился. Ссылка сверху "Пришлите запрошенный карантин опять красная. Прислать ещё раз?
09.04.2008, 10:16
Shu_b

[QUOTE=lop;213197]Ссылка сверху "Пришлите запрошенный карантин опять красная. Прислать ещё раз?[/QUOTE]

она всегда красная... :) ещё раз не надо, доехал.
09.04.2008, 10:32
Rene-gad

[QUOTE=lop;213197]Прислать ещё раз?[/QUOTE]
Логи повторите, плиз.
09.04.2008, 10:37
lop

На всякий случай

ещё раз сделал логи. Что-нибудь ещё?
09.04.2008, 10:40
Rene-gad

[QUOTE=lop;213210]Что-нибудь ещё?[/QUOTE]
Угу.
Пофиксить
[CODE]O2 - BHO: (no name) - {EF3446E8-FC32-4E55-9C56-0B8DA015FC10} - (no file)
O23 - Service: FCI FCIaspnet_state (FCIaspnet_state) - Unknown owner - C:\WINDOWS\system32\w32drv10.exe (file missing)[/CODE]
Скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
QuarantineFile('C:\WINDOWS\system32\ksys.sys','');
DeleteService('ovwscn');
StopService('ovwscn');
DeleteService('ovrscn');
StopService('ovrscn');
DeleteService('NDnet1');
StopService('NDnet1');
DeleteFile('C:\WINDOWS\system32\ksys.sys');
DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
09.04.2008, 10:52
lop

Сделано

но 023 не пропал, даже после перезагрузки.
09.04.2008, 11:03
Rene-gad

[QUOTE=lop;213225]но 023 не пропал, даже после перезагрузки.[/QUOTE]пофиксите и давайте еще такой скрипт прогоним
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Microsoft Inet Service');
DeleteService('Microsoft Inet Service');
StopService('FCIaspnet_state');
DeleteService('FCIaspnet_state');
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\w32drv10.exe','');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\WINDOWS\system32\w32drv10.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После ребута логи повторите.
09.04.2008, 12:17
lop

Сделано

Логи:
09.04.2008, 12:23
Rene-gad

[QUOTE=lop;213287]Логи:[/QUOTE]Вроде ничего плохого больше нет [img]http://cheesebuerger.de/images/more/bigs/a056.GIF[/img]
На всякий случай смените все пароли: Кто знает, кто у Вас по машине лазил. [B]Установите все обновления и заплатки безопасности.[/B]
Карантин, плиз, все-таки закачайте.
09.04.2008, 12:28
lop

Спасибо!

Правда, рабочий стол по прежнему девственно чист, хотя ярлыки в папке есть.

Карантин закачал
Стол нашёл: галку надо было поставить в "Упорядочить значки"->"Отображать значки Р.С."
09.04.2008, 12:35
Rene-gad

[QUOTE=lop;213296]Правда, рабочий стол по прежнему девственно чист, хотя ярлыки в папке есть.
[/QUOTE]
Выполните скрипт:
[CODE]begin
ExecuteRepair(5);
RebootWindows(true);
end.[/CODE]
09.04.2008, 12:50
lop

Выполнил, обои пропали, ярлыки на месте, спасибо.
09.04.2008, 12:52
Rene-gad

[QUOTE=lop;213312]Выполнил, обои пропали, ярлыки на месте, спасибо.[/QUOTE]Обои придется ручками восстановить :)
09.04.2008, 12:56
lop

Понятно. Что ещё сделать? AVZ и HJ удалять? Включить восстановление системы?
09.04.2008, 13:11
Rene-gad

[QUOTE=lop;213317] Включить восстановление системы?[/QUOTE]
На Ваше усмотрение. Это в общем-то не обязательно.
EDIT:[QUOTE=lop;213317]AVZ и HJ удалять?[/QUOTE]АВЗ не установлено, как приложение, можно удалить. В случае необходимости придется все равно актуальную версию скачивать.
Хайджек можно удалить через панель прйложений
09.04.2008, 13:13
lop

Спасибо!