При запуске системы стартует левый процесс winlogon.exe. После чего отрубается брандмауэр. За тем следует остановка группы сервисов. Симантек ругается, но изминить ситуацию не в состоянии. Взываю к помощи
При запуске системы стартует левый процесс winlogon.exe. После чего отрубается брандмауэр. За тем следует остановка группы сервисов. Симантек ругается, но изминить ситуацию не в состоянии. Взываю к помощи
Выполните скрипт в AVZ:
После перезагрузки карантин по правилам и новые логи - в студиюКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA',''); QuarantineFile('c:\windows\system32\svchost.exe:exe.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys',''); QuarantineFile('C:\WINDOWS\system32\DefLib.sys',''); QuarantineFile('c:\docume~1\operator\locals~1\temp\winlogon.exe',''); DeleteFile('c:\docume~1\operator\locals~1\temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\DefLib.sys'); DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA'); DeleteFile('c:\windows\system32\svchost.exe:exe.exe'); BC_ImportALL; BC_DeleteSvc('protect'); BC_DeleteSvc('ICF'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
З.Ы. Интересно, за какое число у вас базы Симантека?
I am not young enough to know everything...
Базы вчерашние. Есть соображение что это из-за восстановления системы
Логи чистые.
Рекомендую отключить все ненужное из этого списка:
Добавлено через 4 минутыКод:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> разрешена потенциально опасная служба TermService (Службы терминалов) >> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
P.S.:
В карантине только protect.sys - Rootkit.Win32.Agent.jj
Остальных похоже съел Симантек (хорош на готовенькое ).
Антивирус полагается отключать при создании карантина.
Последний раз редактировалось Bratez; 16.10.2007 в 17:22. Причина: Добавлено
I am not young enough to know everything...
Спасибо за помощ и советы! Я стопил сервисы симантека. Но он, гаденышь, видимо, после 1-й перезагрузки их скушал
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\protect.sys - Rootkit.Win32.Agent.jj (DrWEB: Trojan.NtRootKit.429)
Уважаемый(ая) Mr.Mennis, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.