вирус

**vve** · 09.01.2008, 16:23

Сообщение от akoK

Похоже Trojan.Patched.AU (BitDefender)

svchost.exe не прошел по базе безопасных

Добавлено через 1 минуту

У вас есть установочный диск? (переустанавливать ничего не надо!)

Установочного диска нет

Добавлено через 2 минуты

Сообщение от wise-wistful

выполните в АВЗ

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\System32\MSCORE.DLL','');
 QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
 DeleteFile('C:\WINDOWS\taskmon.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

загрузите карантин по правилам.

профиксите ...

Код:

O4 - HKLM\..\Run: [taskmon] C:\WINDOWS\taskmon.exe

скрипт выполнил, пофиксить не получилось, т.к. этой строчки уже нет, карантин загрузил

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**akok** · 09.01.2008, 16:33

C:\WINDOWS\System32\MSCORE.DLL - Trojan.Win32.Small.yd

C:\WINDOWS\system32\svchost.exe - Trojan.Win32.Patched.bh(как и ожидалось) с этой дрянью успешно справляется касперский 7.0 насчет дрвеба уточню

p.s. svchost.exe удалять нельзя только лечить!

**V_Bond** · 09.01.2008, 16:36

давайте попробуем так ...
выполните скрипт ...

Код:

begin
RenameFile('%windir%\system32\svchost.exe', '%windir%\system32\svchost.bak');
CopyFile('%windir%\system32\dllcache\svchost.exe', '%windir%\system32\svchost.exe');
BC_DeleteFile('%windir%\system32\svchost.bak');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','SFCDisable',000000000);
BC_DeleteFile('%windir%\System32\MSCORE.DLL');
BC_Activate;
RebootWindows(true);
end.

повторите логи ...

**vve** · 10.01.2008, 11:39

новые логи

**Bratez** · 10.01.2008, 12:02

Следом такой скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('Ubh17');
 SetServiceStart('Ubh17', 4);
 BC_DeleteFile('C:\WINDOWS\Ubh17.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ubh17.sys');
 BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_DeleteSvc('Ubh17');
 BC_DeleteSvc('smtpdrv');
BC_Activate;
RebootWindows(true);
end.

и сделайте новые логи.

**vve** · 10.01.2008, 17:09

новые логи

**wise-wistful** · 10.01.2008, 17:23

Выполните в АВЗ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Электротехника\Рабочий стол\Home Credit\ScriptX_new.rar','');
 QuarantineFile('C:\Documents and Settings\Электротехника\Рабочий стол\Home Credit\ScriptX_new\SXdocs.zip','');
 QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Nh.sys','');
 DeleteFile('C:\WINDOWS\system32\taskmon.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам

**vve** · 11.01.2008, 10:41

новый карантин загружен

**wise-wistful** · 11.01.2008, 12:00

повторите логи посмотрим, что там осталось.

**vve** · 11.01.2008, 14:35

Сообщение от wise-wistful

повторите логи посмотрим, что там осталось.

новые логи

**Bratez** · 11.01.2008, 14:41

Больше ничего плохого не видно.
Вам что-нибудь нужно из этого списка?

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Лишнее отключим.

**vve** · 11.01.2008, 14:48

Сообщение от Bratez

Больше ничего плохого не видно.
Вам что-нибудь нужно из этого списка?

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Лишнее отключим.

ничего из этого не надо

**rubin** · 11.01.2008, 14:53

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

вирус (заявка № 15989)

Опции темы

Ваши права в разделе