Здравствуйте!
Уже 2 недели борюсь со всякой гадостью, которая после вроде как успешного лечения возникает вновь...
Не могли бы Вы проконсультировать - кто виноват и что делать? %)
Здравствуйте!
Уже 2 недели борюсь со всякой гадостью, которая после вроде как успешного лечения возникает вновь...
Не могли бы Вы проконсультировать - кто виноват и что делать? %)
Последний раз редактировалось Dr. Byaka; 07.05.2009 в 17:20.
Sincerely yours,
Dr. Byaka
1. Отключите восстановление системы!
2. Выполните скрипт в AVZ:
3. После перезагрузки пришлите карантин согласно приложению 3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\WINDOWS\system32\ldr34.tmp',''); QuarantineFile('C:\WINDOWS\system32\drivers\Teyo55.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\Qoxg59.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\Okc30.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\Mlx54.sys',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\Xbey38.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\Xbey38.sys'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\system32\ldr34.tmp'); DeleteFile('C:\WINDOWS\system32\drivers\Teyo55.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Qoxg59.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Okc30.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Mlx54.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
4. Очистите временные файлы IE.
5. Сделайте новые логи.
I am not young enough to know everything...
По какой-то причине у меня отсутствует закладка "Восстановление системы" в свойствах компьютера, выполнять остальное?
Sincerely yours,
Dr. Byaka
Почему логи сделаны в Safe Mode? В норм. не получилось?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Да. Только выполнять нужно, загрузившись в обычном режиме (не в Safe mode) и с правами локального администратора. Перед выполнением скрипта, предложенного Bratez, отключитесь от сети и отключите антивирусный монитор.
1.По какой-то причине у меня отсутствует закладка "Восстановление системы" в свойствах компьютера, выполнять остальное?
2. Скрипт в AVZ выполнил в safemode с сетевыми дровами, т.к. в обычном режиме вылетает в синий экран во время выполнения скрипта.
3. После перезагрузки послал карантин согласно приложению 3 правил
Компьютер "живёт" в домене и авторизоваться при отключенной сети даст только в safemode
4. Очистил куки и временные файлы IE.
Последний раз редактировалось Dr. Byaka; 01.10.2007 в 17:21.
Sincerely yours,
Dr. Byaka
Эти два лога? или syscure тоже надо сделать?
Последний раз редактировалось Dr. Byaka; 07.05.2009 в 17:20.
Sincerely yours,
Dr. Byaka
Видно, что скрипт выполнен успешно, но все же сделайте syscure для полной уверенности. Как самочувствие больного?
Добавлено через 2 минуты
Диск F - это CD?>>> F:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
Последний раз редактировалось Bratez; 01.10.2007 в 17:40. Причина: Добавлено
I am not young enough to know everything...
нет, это флешка, отключить? или нехай с ней?
Sincerely yours,
Dr. Byaka
Пришлите по правилам F:\autorun.inf
I am not young enough to know everything...
авторан загружен
Sincerely yours,
Dr. Byaka
Станд. "самоход" в autorun. Задача будет такая: чистить все съемные диски от autorun.inf
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
1. На этот раз syscure прошёл в обычном режиме (не в сейфе)
2. Перегрузился и сделал syscheck
3. я правильно понял? autorun - инфицирован? можно просто их поубивать со всех дисков без помещения в корзину? или это будет неправильно?
Последний раз редактировалось Dr. Byaka; 07.05.2009 в 17:20.
Sincerely yours,
Dr. Byaka
Запустите проводник, включите показ скрытых и системных файлов и на всех дисках ищите и удаляйте:
\autorun.inf
\Recycled\ctfmon.exe
выбирая диски строго по дереву в левой части окна.
Добавлено через 3 минуты
Выполните скрипт в AVZ:
Добавлено через 3 минутыКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\drivers\Uxq51.sys'); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\EVY7C1KZ\n2_18_09_07_0[2].exe'); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\EVY7C1KZ\n2_18_09_07_0[1].exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
И вот напоследок:
Что из этого не нужно - надо отключить.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
Последний раз редактировалось Bratez; 01.10.2007 в 18:55. Причина: Добавлено
I am not young enough to know everything...
на жёстких дисках вместо корзины была папка RECYCLER, в ней по 2 раза desktop.ini - убиты
на флешке корзина была - теже файлы, убиты
авторан был только на флешке,
\Recycled\ctfmon.exe убил неделю назад %)
Sincerely yours,
Dr. Byaka
Значит опасности уже не было. Что ж, в нашем деле лучше перебдеть...авторан был только на флешке,
\Recycled\ctfmon.exe убил неделю назад %)
I am not young enough to know everything...
скрипт выполнил, пегрегрузился
отключил автозапуск сдром и удалённый реестр, остальное - ? что такое SSDP?
Последний раз редактировалось Dr. Byaka; 01.10.2007 в 19:18.
Sincerely yours,
Dr. Byaka
http://oszone.net/5681/Windows_Services - обо всех службах.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
спасибо за ссылку, лишнее поотключал, однако остался ряд неприятных моментов:
1. Отсутствует закладка с восстановлением системы
2. неудаётся включить брандмауер, сдаётся мне, что после лечения его антивирусами
это лечится? %)
Sincerely yours,
Dr. Byaka
Уважаемый(ая) Dr. Byaka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.