И вновь - целая толпа монстров:
И вновь - целая толпа монстров:
Последний раз редактировалось Ивпал; 07.02.2008 в 15:27.
профиксить в hijackthis:
Выполнить скрипт:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\idaw64.exe,
После перезагрузки загрузить карантин и сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\kprof',''); QuarantineFile('C:\WINDOWS\system32\poof',''); QuarantineFile('C:\WINDOWS\system32\idaw64.exe',''); QuarantineFile('C:\DOCUME~1\CCD4~1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('\??\C:\WINDOWS\system32\DefLib.sys',''); BC_QrSvc('poof'); BC_QrSvc('kprof'); BC_DeleteFile('\??\C:\WINDOWS\system32\DefLib.sys'); DeleteFile('C:\DOCUME~1\CCD4~1\LOCALS~1\Temp\winlogon.exe'); BC_DeleteFile('C:\DOCUME~1\CCD4~1\LOCALS~1\Temp\winlogon.exe'); BC_DeleteFile('C:\WINDOWS\system32\poof'); BC_DeleteFile('C:\WINDOWS\system32\kprof'); BC_DeleteSvc('poof'); BC_DeleteSvc('kprof'); BC_DeleteSvc('FCI'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Остался Trojan-Spy.Win32.Iespy.
Последний раз редактировалось Ивпал; 07.02.2008 в 15:27.
А и где карантин после моего скрипта? Жалко, если его антивир съел, даже с ini-файламию
Есть карантин только после выполнения логов.
Осталось чуть больше зверей. Скрипт сейчас нарисую.
Загрузить конкретно mswshl.dll и C:\WINDOWS\svchost.exe + C:\WINDOWS\system32\mswapi.dllКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('mswshl.dll',''); QuarantineFile('C:\WINDOWS\svchost.exe',''); DeleteFile('C:\WINDOWS\svchost.exe'); BC_DeleteFile('C:\WINDOWS\svchost.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Пардон, с карантином перемудрил, похоже.
Сейчас выслал старый.
Пошел скриптить...
Backdoor.Trojan - 'C:\WINDOWS\svchost.exe' (по Симантеку)
А карантин опять не тот. Там минимум 5-файлов ini д.б.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вот, нашел и такой, с пятью ini. Других больше нет
То, что нужно.
Deflib.sys - Hacktool.Rootkit (по Симантеку)
mswapi.dll - Trojan-Spy.Win32.Iespy.cb (новый по Касперскому)
kpoof - Hacktool.Rootkit (по Симантеку)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
И что же с этой троицей делать?
AVZ оять говорить про Trojan-Spy.Win32.Iespy.ag
Последний раз редактировалось Ивпал; 07.02.2008 в 15:27.
Это для его удаления.
Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\mswapi.dll'); ExecuteSysClean; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполните скрипт в AVZ:
Если что-то попадет в карантин - пришлите по правилам.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe',''); QuarantineFile('C:\WINDOWS\system32\mswapi.dll',''); DeleteFile('C:\WINDOWS\system32\mswapi.dll'); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); BC_ImportDeletedList; BC_DeleteSvc('FCI'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пофиксите в HijackThis:
Сделайте новые логи.Код:O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\system32\mswapi.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)
I am not young enough to know everything...
В Карантине пусто.
Новые логи.
Последний раз редактировалось Ивпал; 07.02.2008 в 15:27.
Что из этого не нужно? Можем помочь закрыть.
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Первые 4 и последние 2. Закрою.
Спасибо!
Уважаемый(ая) Ивпал, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.