При проверке DrWeb - CureIT удаляет Trojan.NtRootKit.312 из файла C:\WINDOWS\system32\DefLib.sys
и после перезагрузки снова находит и удаляет его на том же месте
Спасибо.
При проверке DrWeb - CureIT удаляет Trojan.NtRootKit.312 из файла C:\WINDOWS\system32\DefLib.sys
и после перезагрузки снова находит и удаляет его на том же месте
Спасибо.
сказано было в правилах :перед выполнением логов отключить антивирусы и все программы кроме браузера!
1.отключить антивирус.
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
3.Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); QuarantineFile('C:\windows\system32\drivers\protect.sys',''); QuarantineFile('C:\WINDOWS\System32\DefLib.sys',''); QuarantineFile('C:\DOCUME~1\carol\LOCALS~1\Temp\RarSFX6\316OfUdx.sys',''); QuarantineFile('c:\docume~1\carol\locals~1\temp\winlogon.exe',''); QuarantineFile('c:\windows\system32\winlogon.exe',''); QuarantineFile('c:\windows\system32\msvcrtd.exe',''); QuarantineFile('c:\windows\system32\gcc.exe',''); KillProcess(1888); DeleteFile('c:\docume~1\carol\locals~1\temp\winlogon.exe'); DeleteFile('C:\DOCUME~1\carol\LOCALS~1\Temp\RarSFX6\316OfUdx.sys'); DeleteFile('C:\WINDOWS\System32\DefLib.sys'); DeleteFile('c:\windows\system32\msvcrtd.exe'); BC_DeleteSvc('MsUpdate'); BC_DeleteSvc('FCI'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(9); RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12160
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
простите за антивирус)
CureIT больше ничего не находит. Спасибо!
карантин отправила.
Сделайте логи еще раз.
Это ещё не всё
Система больно дырявая с морально устаревшей защитой, считай никакой. SP2 когда будем ставить ?
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Сделать новые логи, как в первом вашем сообщении.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\windows\system32\drivers\protect.sys'); DeleteFile('c:\windows\system32\gcc.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось drongo; 04.09.2007 в 00:56.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
логи до выполнения второго скрипта (если они нужны)
скрипт выполнила, SP2 установила, логи:
Теперь почти все в порядке.
1. Пофиксите в HijackThis:
2. Посмотрите это:Код:O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - (no file) O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
Если что-то из перечисленного нужно - скажите, остальное поправим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
1. пофиксила, большое спасибо!
2. из этого ничего не нужно
KerroL,
1.Поставьте антивирус и файрвол или 2 в одном, симантек старый удалить- он только ресурсы ест и как видно не помогает
2.Вот скрипт для закрытия лишних дырок:3.Чтобы уменьшить шанс заражения, советуем на будущее :Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('Schedule', 4); SetServiceStart('TlntSvr', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!
Удачи!
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
антивирус и файрвол переставлю,
скрипт выполнила, большое спасибо,
советы буду выполнять)
файл отправила.
Огромное Вам спасибо за вашу помощь!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\docume~1\\carol\\locals~1\\temp\\winlogon.exe - Trojan-Proxy.Win32.Small.fz (DrWEB: Trojan.Packed.147)
- c:\\windows\\system32\\deflib.sys - Trojan.Win32.Agent.asu (DrWEB: Trojan.NtRootKit.312)
- c:\\windows\\system32\\drivers\\protect.sys - Rootkit.Win32.Agent.jj (DrWEB: Trojan.NtRootKit.429)
- c:\\windows\\system32\\gcc.exe - Email-Worm.Win32.Mydoom.bj (DrWEB: Trojan.Spambot.2424)
- c:\\windows\\system32\\msvcrtd.exe - Backdoor.Win32.Agent.bew (DrWEB: Trojan.Packed.170)
Уважаемый(ая) KerroL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.