Много чего уже было убито (startdrv, msupdate и др.). А вот с подменой iexplore никак не справиться .
Много чего уже было убито (startdrv, msupdate и др.). А вот с подменой iexplore никак не справиться .
Добавлено через 11 минутКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\winlogon.scr',''); BC_ImportQuarantineList; BC_QrFile('\??\C:\WINDOWS\System32\drivers\runtime.sys'); BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys'); BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); BC_QrSvc('runtime'); BC_QrSvc('runtime2'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт:
Пофиксите в HiJackThis, что останется:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\rasmoesa.dll',''); QuarantineFile('C:\WINDOWS\system32\winlogon.scr',''); QuarantineFile('C:\WINDOWS\System32\ati2paag.dll',''); QuarantineFile('C:\WINDOWS\system32\ovrscn.dll',''); DeleteFile('C:\WINDOWS\system32\rasmoesa.dll'); DeleteFile('C:\WINDOWS\system32\winlogon.scr'); DeleteFile('C:\WINDOWS\System32\ati2paag.dll'); DeleteFile('C:\WINDOWS\system32\ovrscn.dll'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Потом пришлите итоговый карантин и логиКод:O2 - BHO: Flash Module - {C87FA4A3-2474-4a3f-B413-67D515905024} - rasmoesa.dll (file missing) O20 - Winlogon Notify: ati2paag - ati2paag.dll (file missing) O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
Последний раз редактировалось rubin; 06.11.2007 в 21:58. Причина: Добавлено
Отправил карантин, который получился до fix.
Готовлю логи после fix.
Карантины пустые, ждем логи
Вроде бы чисто?..
Пофиксите:
Выполните скрипт:Код:O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
Опять пришлите карантин и повторите логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
выполните скрипт...
пришлите карантин согласно приложения 3 правил...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\C:\WINDOWS\system32\nvsvc32.exe ',''); BC_ImportQuarantineList; BC_QrSvc('NVSvc'); BC_Activate; RebootWindows(true); end.
Отправил архивы карантина, полученные после каждого из скриптов.
nvsvc32.exe - попробуйте поискать через авз - сервис-поиск файлов на диске ...
если найдется пришлите по правилам ....
Потом повторите логи для проверки
через авз не получилось -- почему-то не скопировался в карантин.
Отправил с паролем virus
присланный файл чистый ...
такой красивый путь
C:\WINDOWS\C:\WINDOWS\system32\
оставим на совести hijackthis ....
повторите лог hijackthis
Прошу прощения, вчера уже не было сил на продолжение...
Про nvsvc32.exe: совесть hijackthis чиста, в реестре путь был прописан \SystemRoot\C:\WINDOWS\system32\nvsvc32.exe
Возможно это последствия моей вчерашней борьбы до обращения к Вам.
Поправил. После перезагрузки пусть остался в исправленном состоянии.
Приложенный лог hijackthis сделан ДО правки.
Нужно разобратся с этим:
Что из этого нужно ?Код:>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
В общем-то ничего из этого не нужно.
То что относится к службам, выставлен тип запуска Вручную.
Защититься на будущее -- конечно важно, рекомендации выполню. Но хотелось бы знать: сейчас по логам все чисто?
Это остановит службыКод:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); RebootWindows(true); end.
Добавлено через 53 секунды
Логи чистые
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Последний раз редактировалось rubin; 07.11.2007 в 12:46. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 5
- Обработано файлов: 26
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) VoV, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.