BSOD время от времени, кое какие игрушки глючат...
BSOD время от времени, кое какие игрушки глючат...
1. Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\svshost.dll',''); QuarantineFile('C:\Program Files\imeem\imeem.exe',''); QuarantineFile('C:\DOCUME~1\6350~1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('c:\documents and settings\Ёж\application data\spoolsv.exe',''); QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe',''); QuarantineFile('C:\WINDOWS\system32\mscoree.dll',''); QuarantineFile('D:\(Program Files)\Procenter\aIP\ssleay32.dll',''); QuarantineFile('D:\(Program Files)\Procenter\aIP\libeay32.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
I am not young enough to know everything...
уже не первый раз на форуме , а правила не выполняем. каспера удалить и поставить нового. просканировать как указано в правилах.
базы avz не обновлeны!!!
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
2. Выполните следующий скрипт:
3. После перезагрузки пофиксите в HijackThis:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\Ёж\Application Data\spoolsv.exe'); DeleteFile('C:\DOCUME~1\6350~1\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\svshost.dll'); BC_ImportDeletedList; BC_DeleteSvc('ICF'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
(чего-то может и не оказаться).Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Ёж\Application Data\spoolsv.exe, O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\6350~1\LOCALS~1\Temp\winlogon.exe O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
4. Сделайте новые логи.
Последний раз редактировалось Bratez; 15.09.2007 в 02:53.
I am not young enough to know everything...
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
вот так ... всего то ;
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\Ёж\Application Data\spoolsv.exe'); DeleteFile('C:\DOCUME~1\6350~1\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\svshost.dll'); BC_ImportDeletedList; BC_DeleteSvc('ICF'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
вот новые логи.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); clearquarantine(); QuarantineFile('C:\WINDOWS\system32\msdnc3.exe',''); QuarantineFile('C:\WINDOWS\system32\wininet.exe',''); QuarantineFile('C:\WINDOWS\Temp\*DF601.tmp',''); DeleteFile('C:\WINDOWS\system32\msdnc3.exe'); DeleteFile('C:\WINDOWS\system32\wininet.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(9); RebootWindows(true); end.
P.S.Насчёт ваших дырок в системе:что используется?
Код:Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
Последний раз редактировалось drongo; 15.09.2007 в 16:02.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
карантин
Последний раз редактировалось drongo; 16.09.2007 в 10:35.
если говорить по каждой, то нужно время. Не проще прислать список программ, которые теоретически могут это использовать? - стоит Daemon Tool, DVD Shrink, ещё наверно WEB Money, некий GGClient, imeem, Nokia PC suite. Вроде всё. Никаких удалённых помощников и прочей лабуды..))
=фанто=, пришлите карантин по ссылке ... http://virusinfo.info/upload_virus.php?tid=12462
к теме его прикреплять нельзя ....
вот скрипт для закрытия потенциальных уязвимостей ...
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); end.
всем спасибо))
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\ёж\\application data\\spoolsv.exe - Trojan-PSW.Win32.LdPinch.cfk (DrWEB: Trojan.Spambot.2389)
- c:\\windows\\system32\\msdnc3.exe - Backdoor.Win32.Small.ls (DrWEB: Trojan.Proxy.2047)
- c:\\windows\\system32\\wininet.exe - Backdoor.Win32.Small.ls (DrWEB: Trojan.Proxy.2047)
Уважаемый(ая) =фанто=, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.