выполните скрипт ....
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\wowfx.dll','');
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bot.dll','');
QuarantineFile('Qby41.sys','');
QuarantineFile('c:\windows\system32\svchost.exe','');
DeleteFile('C:\WINDOWS\system32\Drivers\asc3550p.sys');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\system32\wowfx.dll');
BC_QrSvc('Qby41');
BC_DeleteSvc('asc3550p');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришдите карантин согласно приложения 3 правил ...
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
65
Фуф.. Вот логи.) Там все также жутко.
Последний раз редактировалось AdeptusArbitres; 06.01.2008 в 13:42 .
Junior Member
Вес репутации
65
Если надо могу заново сделать протокол служб.
Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - Winlogon Notify: botreg - C:\WINDOWS\
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Меню\Application Data\printer.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Qby41.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Kkt51.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Fhy58.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Qby41.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Qby41.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Fhy58.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Kkt51.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Qby41.sys');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\Documents and Settings\Меню\Application Data\printer.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
I am not young enough to know everything...
Junior Member
Вес репутации
65
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Junior Member
Вес репутации
65
Хех.. Вот логи.) Сейчас выложу карантин.
Последний раз редактировалось AdeptusArbitres; 06.01.2008 в 13:42 .
Удалите Outpost (это обязательно!)Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE','');
end.
Загрузите карантин по этой ссылке. Попробуйте сделать логи в нормальном режиме.
Junior Member
Вес репутации
65
Аутпост удалил. Карантин выложить после создания логов, один я выкладывал в 4 утра вместе с логами. Сейчас попробую.
Junior Member
Вес репутации
65
Запустил скрипт, все нормально сработало. Логи удалось сделать без safe mode. Карантин сейчас выложу.
Junior Member
Вес репутации
65
Карантин - 080106_044636_virus_4780b18c64196.zip
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\system32\users32.dat','');
DeleteFile('C:\windows\system32\users32.dat');
BC_ImportDeletedList;
BC_DeleteSvc('Qby41');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Если карантин будет не пуст - пришлите по правилам.
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Лишнее отключим.
I am not young enough to know everything...
Junior Member
Вес репутации
65
Хорошо сейчас сделаю все это. Из этих служб, кроме административного доступа больше не нужно ничего.)
Тогда такой скрипт:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
и сделайте лог syscheck для контроля.
I am not young enough to know everything...
Junior Member
Вес репутации
65
syscheck - это стандарт. скрипт 2, или для контроля это что-то другое?
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\system32\users32.dat',' ');
DeleteFile('C:\windows\system32\users32.dat');
BC_ImportDeletedList;
BC_DeleteSvc('Qby41');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
лежит users32.dat, его выложить?
Junior Member
Вес репутации
65
Надеюсь это тот лог, что нужен.
Меня беспокоит ваш c:\windows\system32\svchost.exe , который не проходит по базе безопасных. Его уже карантинили выше, но по-моему, никто так и не проверил (я карантины не качал из-за большого размера
I am not young enough to know everything...
Junior Member
Вес репутации
65
Хорошо, сейчас выложу. У меня были когда-то с этим файлом проблемы, он загружал соединение и отправлял массу запросов(пытался) на удаленные ip.
Да, users32.dat из карантина пришлите.
I am not young enough to know everything...
Junior Member
Вес репутации
65
Вот они оба.
users32.dat - not-a-virus:AdWare.Win32.Agent.zo Trojan.Win32.Patched.bh
I am not young enough to know everything...
). Пришлите этот файл отдельно - по правилам, разумеется.
