Логи прилагаю, прошу посмотреть и дать рекомендации.
Логи прилагаю, прошу посмотреть и дать рекомендации.
Последний раз редактировалось tenzor; 16.07.2008 в 14:07.
АВЗ - "Файл" => "Выполнить скрипт"
После перезагрузки пришлите карантин по правилам и повторите логи.Код:begin SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\system32\setnote.cpl',''); QuarantineFile('C:\WINDOWS\svchost.exe',''); QuarantineFile('C:\DOCUME~1\81F6~1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\StarOpen.SYS',''); QuarantineFile('C:\WINDOWS\system32\simp_dll.dll',''); BC_DeleteFile('C:\WINDOWS\system32\simp_dll.dll'); BC_DeleteFile('C:\DOCUME~1\81F6~1\LOCALS~1\Temp\winlogon.exe'); BC_DeleteFile('C:\WINDOWS\svchost.exe'); BC_Activate; RebootWindows(true); end.
Карантин загрузил.
Логи прилагаю.
Прошу посмотреть.
Ну очень прошу посмотреть!
Последний раз редактировалось tenzor; 16.07.2008 в 14:06.
Посмотрите логи, пожалуйста!
Пришлите по правилам файл C:\WINDOWS\system32\ntoskrnl.exe
I am not young enough to know everything...
Выполнить скрипт в Safe Mode, предварительно отключив антивирус:
Подготовить на всякий случай диск с дистрибутивом ХР.Код:begin ClearQuarantine; QuarantineFile(\WINDOWS\system32\ntoskrnl.exe',' '); BC_QrFile('\WINDOWS\system32\ntoskrnl.exe'); BC_Activate; RebootWindows(true); end.
Если \WINDOWS\system32\ntoskrnl.exe попадет в карантин, то загрузить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Скачайте Cureit beta - ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe и проверьте им диск с: всё что найдет нужно вылечить.
После повторите 1-й из логов AVZ.
файл ntoskrnl.exe загрузил, Cureit betta выполняется.
Посмотрите файл пожалуйста.
А что диск понадобиться, есть вероятность?
А то ведь я лечу не свой компьютер, а на расстоянии посредством e-mail и телефона....
Но повторная установка XP на расстоянии может уже не получиться.
После лечения ntoskrnl.exe выполните скрипт:
и сделайте новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\simp_dll.dll'); DeleteFile('C:\DOCUME~1\81F6~1\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\svchost.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Curit-beta скачали и прогнали, вирус был обнаружен в шести местах.
Свежие логи сейчас будут.
логи прилагаю
Последний раз редактировалось tenzor; 16.07.2008 в 14:06.
Профиксить:
Выполнить скрипт:Код:O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\81F6~1\LOCALS~1\Temp\winlogon.exe O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - shell32.dll (file missing)
Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\svchost.exe',''); DeleteFile('C:\WINDOWS\svchost.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); Загрузить если что-то попадет в карантин. Новые логи прикрепить к теме. end.
Последний раз редактировалось PavelA; 17.09.2007 в 15:46.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Карантин загружен, Логи прилагаются.
Последний раз редактировалось tenzor; 16.07.2008 в 14:06.
Логи чистые. Остается закрыть дырки:
Если что не нужно отпишите, дадим скрипт чтобы закрыть.>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Компьютер домашний, выход в интернет через Ethernet (вроде как домовая сеть), так что, наверное, можно все закрывать.
А какая из этих служб потенциально может быть нужна?
Я думаю, что все можно закрывать.
Выполнить скрипт:
Если вдруг что-то не заработает, обращайтесь, включим назад.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вроде как нормально работает после закрытия уязвимостей.
Еще сейчас поставим чохом все обновления для ХР, и будем надеятся, что все будет ОК.
Всем спасибо за помощь!
Уважаемый(ая) tenzor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.