Добрый день. Прошу помощи.
Добрый день. Прошу помощи.
Выполнить скрипт:
Загрузить карантин по ссылке вверху темы.Код:begin BC_QrFile('C:\WINDOWS\Temp\startdrv.exe'); BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); // BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); // BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); // BC_DeleteSvc('Ip6Fw'); BC_Activate; RebootWindows(true); end.
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Карантин выслал.
Профиксить в hijackthis:
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
Обновить версию hijackthis. Сделать лог hijackthis
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Пофиксил. Лог свежей версии приложен.
странно, не видны процессы в логе хиджака
Выполнить:
Закрывать что-то будем из этого:Код:begin SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\TEMP\winlogon.exe'); ExecuteSysClean; end.
>> Службы: разрешена потенциально опасная служба Alerter (Alerter)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Код выполнил (комп попросил перезагрузку). Закрыть можно всё.
Выполнить:
Сделать "контрольный выстрел" - комплект логов. Надеюсь, что последний.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('Schedule', 4); SetServiceStart('Alerter', 4); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Огромное спасибо за помощь. Если можно то два вопроса:
1. Что это было? (Одна и таже зараза третий раз, первые два лечения закончились переустановкой системы)
2. Чем лучше защитить комп от подобных вещей? (фаервол+антивирус)
Rootkit.Win32.Agent.bp по Касперскому + еще один Downloader. Если интересно, позже напишу точное название.
По поводу фаервалла+антивирус - см. статью по статистике за посл. четыре недели.
Мы Вас выписываем, лечение закончено - логи чистые.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Ещё раз огромное спасибо за оказанную помощь.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) sergl27, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.