Здравствуйте.
Тут есть ноутбук тошиба. С некоторого времени стал самостоятельно подключаться к скай линку . Проверил АВЗ, мда, много чего там.
Есстественно высылаю логи.
Здравствуйте.
Тут есть ноутбук тошиба. С некоторого времени стал самостоятельно подключаться к скай линку . Проверил АВЗ, мда, много чего там.
Есстественно высылаю логи.
Последний раз редактировалось Jinn; 29.01.2008 в 22:19.
Я что-то не так сделал?
Выполните скрипт в AVZЗагрузите карантин по этой ссылке. Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\mssrv32.exe',''); QuarantineFile('C:\WINDOWS\kernell.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\SYMREDRV.SYS',''); QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys',''); QuarantineFile('C:\WINDOWS\system32\ovwscn.sys',''); QuarantineFile('C:\WINDOWS\system32\ovrscn.sys',''); QuarantineFile('C:\WINDOWS\system32\DefLib.sys',''); QuarantineFile('C:\WINDOWS\system32\ovrscn.dll',''); DeleteFile('C:\WINDOWS\system32\ovrscn.dll'); DeleteFile('C:\WINDOWS\system32\DefLib.sys'); DeleteFile('C:\WINDOWS\system32\ovrscn.sys'); DeleteFile('C:\WINDOWS\system32\ovwscn.sys'); DeleteFile('C:\WINDOWS\kernell.exe'); DeleteFile('C:\WINDOWS\system32\drivers\protect.sys'); DeleteFile('C:\WINDOWS\system32\mssrv32.exe'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
P.S.: Для того чтобы написать скрипт нужно время.
Карантин выслал.
Логи сделал.
После выполнения скрипта, пока что-то наблюдается непонятное.
А именно, в ходе повторных логов, оживал симантек и удалял какие-то файлы. Называл эти файлы Backdoor и все они сидели в темп.
P/S/ Извините, что торопил
Последний раз редактировалось Jinn; 29.01.2008 в 22:19.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
Карантин пришлите по правилам.Код:begin ClearQuarantine; BC_QrFile('C:\WINDOWS\system32\ati2kstg.sys'); BC_QrSvc('ovrscn'); BC_QrSvc('FCI'); BC_DeleteSvc('ovrscn'); BC_DeleteSvc('FCI'); BC_Activate; RebootWindows(true); end.
Добавлено через 1 минуту
Посмотрите, нужно ли вам что-то из этого:
Лишнее отключим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
Последний раз редактировалось Bratez; 20.12.2007 в 16:42. Причина: Добавлено
I am not young enough to know everything...
Вроде все затихло. Спасибо большое.
Карантин таки оказался не пустой. Высылаю.
На всяк случай и логи прикрепил.
Последний раз редактировалось Jinn; 29.01.2008 в 22:19.
Эх, опоздал я с поправкой...
Выполните еще такой скрипт:
и опять карантинчик загрузите.Код:begin ClearQuarantine; BC_QrFile('C:\WINDOWS\system32\ati2kstg.sys'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Этот файл точно есть, попробуйте его достать через AVZ - Сервис - Поиск файлов на диске.
Или вот таким скриптом:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ati2kstg.sys',''); BC_ImportALL; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Уважаемый(ая) Jinn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.