-
Junior Member
- Вес репутации
- 63
Почистил комп, а вдруг что осталось?
Добрый день, люди добрые...
Почистил сегодня ноут, когда мне его принесли и попросили помочь, он не запускался вообще... потом после вычесывания CureIt в безопасном режиме и удаления всяких autorun-ов из корня C:\ ноут загрузился... повторно CureIt вычистил 270 пораженных обьектов. Это при том что на нем установлен Semantec Antivirus. Гляньте плиз, наверняка там еще гадость осталась...
Последний раз редактировалось Antonnio; 04.12.2007 в 13:10.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('c:\windows\system32\iexpress.dll','');
QuarantineFile('SP00LSV.EXE','');
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Osbk47.sys','');
QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\System32\bcm1xsup.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\system32\drivers\Osbk47.sys');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Добавлено через 2 минуты
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\iexpress.dll (file missing)
O4 - HKLM\..\Run: [SP00LSV.EXE] SP00LSV.EXE
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll
Добавлено через 2 минуты
По поводу "авторанов" - почитайте это, думаю, будет нелишним выполнить описанную там процедуру.
Последний раз редактировалось Bratez; 19.09.2007 в 14:48.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
да, спасибо, среди всего прочего был и Virus.VBS.Small.a...
все что по ссылке сделал...
карантин:
Файл сохранён как 070919_062320_virus_46f106a81bee3.zip
Размер файла 6093427
MD5 68fbcd0fac09065c2ddd94b42fa1ae9d
кстати комп после выполнения скрипта перезагружался минут 5...
-
Выполните такой скрипт:
Код:
begin
ClearQuarantine;
QuarantineFile('C:\infrom.exe','');
QuarantineFile('D:\infrom.exe','');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\infrom.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\infrom.exe');
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки пришлите если что-то попадет карантин
и сделайте новые логи, посмотрим, что получилось.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
выдает ошибку в позиции 3:15
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
в карантин на сей раз ничего не попало...
сделал новые логи.
Последний раз редактировалось Antonnio; 04.12.2007 в 13:10.
-
1. Вы не отключали восстановление системы - сделайте это сейчас, там сохранились копии зловредов.
2. Для разблокировки Диспетчера задач сделайте в AVZ:
Файл - Восстановление системы - п.11 - Выполнить.
3. Посмотрите, что вы используете из этого:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
остальное исправим.
Больше ничего плохого в логах не видно.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
Виноват, забыл про восстановление системы... отключил.
службы эти можно убить...
диспетчер задач разблокировал...
-
службы эти можно убить...
Хорошо, тогда выполните скрипт:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
На этом лечение окончено.
Учитывая несвоевременное отключение восстановления системы, надо сделать еще раз все логи, дабы убедиться, что все в порядке.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
вот логи, еще раз спасибо за помощь!
Последний раз редактировалось Antonnio; 04.12.2007 в 13:10.
-
I am not young enough to know everything...
-