Printable View
Доброго всем времени суток!
Люди, проблема такая:
1. Рассылаю спам ( трафик забит)
2. На машине куча троянов
3. Не могу сделать логи , т.к. машина постоянно перегружается( сделал только лог из HiJackThis
если есть возможность напишите пожалуйста скрипт, чтобы машина не перегружалась
2 стандартный скрипт должен выполняться нормально...
я понимаю, но он просто не успевает, я смог выполнить только из раздела
Файл=> Восстановление системы=> 1, 5 и 10 пункты, сейчас запустил скрипт №2, но не уверен что на него хватит времени и машина опять не перегрузится
Сделай просто Файл - "Исследование системы". Зря сам с Восстановлением мудрил. :(
Вот , смог сделать, только теперь при перезагрузке ещё и папка мои документы открывается, такого раньше не было.
а по поводу восстановления- согласен, но теперь хоть не перегружается
Да, уж. Замечательный набор - ntos, Avast, Symantec. Это просто коммент.
Карантин удали из темы, чтобы мне не пришлось "Замечание" выписывать.
[quote=PavelA;308271]Да, уж. Замечательный набор - ntos, Avast, Symantec. Это просто коммент.
Карантин удали из темы, чтобы мне не пришлось "Замечание" выписывать.[/quote]
ntos- про это вообще ничего не знаю, даже не знаю кто ставил
Avast- это я ставил сегодня
Symantec- это корпоративный антивирус, пропускает всё, может просто неправильно настроен, ставили админы, но тех которые ставили уже давно нет, а у новых нет данных, войти в программу не удается - пароль не соответсятвует
У меня сегодня проблемы с Инетом, так что скрипт написать тяжко.
Ntos - малваре из семейства Zlob по кваллификации Касперского, может воровать пароли.
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{D0A7AE29-5A9D-419D-84CD-233098D57135}');
QuarantineFile('C:\WINDOWS\system32\tvsm.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\msansspc.dll','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('tcpsr');
DeleteService('ati8xdxx');
DeleteService('ati6tyxx');
DeleteService('ati6quxx');
DeleteService('ati6inxx');
DeleteService('ati5uaxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati5afxx.sys','');
DeleteService('ati5afxx');
QuarantineFile('C:\WINDOWS\system32\drivers\pqroruur.sys','');
QuarantineFile('c:\windows\system32\rs32net.exe','');
QuarantineFile('c:\windows\msauc.exe','');
DeleteFile('c:\windows\system32\rs32net.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5afxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\tvsm.dll');
BC_ImportAll;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('ati8xdxx');
BC_DeleteSvc('ati6tyxx');
BC_DeleteSvc('ati6quxx');
BC_DeleteSvc('ati6inxx');
BC_DeleteSvc('ati5uaxx');
BC_DeleteSvc('ati5afxx');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи.
Загрузить карантин через ссылку вверху темы.
Скрипт выполнил
Карантин выслал
Логи сделал
Были удалены:
msauc.exe_ - Trojan-Downloader.Win32.Exchanger.anm - свежий.
rs32net.exe_ - Trojan.Win32.Agent.amov по Касперскому.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Профиксить:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
Далее разобраться с каким а/вирусом будете жить.
Пароли все желательно сменить.
Спасибо, огромное!
Пофиксил, больше ничего не надо делать?
Еще будет надо доудалять остатки.
Выполнить:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('ati8xdxx');
BC_DeleteSvc('ati6tyxx');
BC_DeleteSvc('ati6quxx');
BC_DeleteSvc('ati5uaxx');
BC_DeleteSvc('ati4wbxx');
BC_DeleteSvc('ati3yexx');
BC_DeleteSvc('ati3dixx');
BC_DeleteSvc('ati2txxx');
BC_DeleteSvc('ati2kpxx');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать заново логи.
Повторяю логи, скрипт выполнил
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msansspc.dll','');
DeleteService('ati6inxx');
DeleteService('ati1xcxx');
DeleteService('WmdmPmSNMSDTC');
QuarantineFile('C:\WINDOWS\system32\wpv2780.cpx','');
DeleteFile('C:\WINDOWS\system32\wpv2780.cpx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1xcxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6inxx.sys');
DeleteFile('C:\WINDOWS\system32\msansspc.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('ati6inxx');
BC_DeleteSvc('ati1xcxx');
BC_DeleteSvc('WmdmPmSNMSDTC');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Карантин закачал, скрипт выполнил, логи выслал
выполните скрипт
[code]
begin
QuarantineFile('C:\WINDOWS\system32\rc\winvnc.exe','');
DeleteFile('msansspc.dll');
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
карантин прислал по ссылке вверху темы
скрипт выполнил, логи выслал
Так лечиться можно до бесконечности. Почему "Восст. системы" включено?
Карантин посмотрю.
[quote=PavelA;308776]Так лечиться можно до бесконечности. Почему "Восст. системы" включено?
Карантин посмотрю.[/quote]
Голова дырявая, забыл! сейчас отключу
теперь что? все скрипты заново выполнить?
msansspc.dll - Trojan.Win32.Agent.amgt по версии Вирустотал.
Да, нет все скрипты не надо. Логи просто после отключения Восстановления сделай.
[quote=PavelA;308780]msansspc.dll - Trojan.Win32.Agent.amgt по версии Вирустотал.[/quote]
и как его удалить?
Он уже удален, сделайте новый логи с отключенным восстановлением...
логи выслал
ещё вопросик: а можно в АВЗ меню Файл => показать карантин удалить то что там помещено на карантин?
В логах чисто, да удалите все что там есть...
Всем огромное спасибо!