Опять набрался

[yuraf]

Думаю даже текст излишен.
ХЕЛП!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\Program Files\WinAble\winable.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
 QuarantineFile('C:\DOCUME~1\Yuriy\LOCALS~1\Temp\winsto.exe','');
 QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Ndt41.sys','');
 QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe','');
 QuarantineFile('C:\WINDOWS\mrofinu801.exe','');
 DeleteFile('C:\WINDOWS\mrofinu801.exe');
 DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\Ndt41.sys');
 DeleteFile('C:\WINDOWS\system32\_svchost.exe');
 DeleteFile('C:\DOCUME~1\Yuriy\LOCALS~1\Temp\winsto.exe');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
 DeleteFile('C:\Program Files\WinAble\winable.exe');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Обновите базы AVZ.
Сделайте новые логи.

[yuraf]

Во вложении новые логи. В нет вроде перестало беспорядочно лезть!

Карантин закачан в соответствии с правилами.

Вопрос - нет ли простой и не тяжелой програмки, которая запрашивала бы разрешение перед корректировками реестра, чтобы понять когда "это" лезет?

[PavelA]

Профиксить:
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\

Выполнить скрипт:

Код:

begin
ClearHostsfile;
BC_DeleteSvc('Microsoft Inet Service'; 
BC_Activate;
rebootwindows(true);
end.

Доктора веба надо обновить. Тек версия 4.44.
Базы AVZ тоже требуют обновления.

[yuraf]

Базы АВЗ обновил и сделал новые логи, а также загрузил карантин:

Файл сохранён как 071123_121008_Q_47471780441b5.zip
Размер файла 690784
MD5 3924b66332fb025eb1a5e533bcd9c38c

[V_Bond]

в логах чисто ....
осталось очистить временные интернет файлы ....
поставить фаервол ...
разобраться с этим >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному

и по возможности не использовать IE

[yuraf]

Не уверен что все чисто - машина вешается и причем только когда включен модем.
По поводу служб - как их отключить?
Если не ИЕ, то Оперу?

[V_Bond]

1 сделайте лог http://virusinfo.info/showthread.php?t=10387
2 локальная сеть есть ?
3 опера с отключеными скриптами намного безопасней

[yuraf]

ЛОг сделал.
Локалки нет.
выдает странное сообщение - неожиданно завершен системный процесс ... services.exe с кодом ...

[Bratez]

Выполните скрипт (подчистка следов):

Код:

begin
 BC_DeleteSvc('Ndt41');
 BC_DeleteSvc('protect');
 BC_DeleteSvc('regepsrvc');
BC_Activate;
RebootWindows(true);
end.

Последний лог на всякий случай еще раз сделайте.

выдает странное сообщение - неожиданно завершен системный процесс ... services.exe с кодом ...

Заплатки после SP2 регулярно ставите? Если нет, очень рекомендую вот это:
http://poleznosti.ru/soft/file_catal...20060821091454

[yuraf]

Вот лог!

все равно система работет не стабильно... придется снести и поставить заново. ;(

[SDA]

Желательно на новой системе Internet Explorer v6.00 обновить на 7 и скачать полностью заплатки после SP2, про обновление DRWEB уже было сказано.Иначе проблемы будут повторятся.

[yuraf]

Попробовал просто обновить винду поверх, но проблема осталась.

Постоянно возникает проблема с services.exe -
szAppName : services.exe szAppVer : 5.1.2600.2180 szModName : unknown szModVer : 0.0.0.0 offset : 00899d51

ЛИбо
services.exe - обнаружена ошибка. Приложение будет закрыто.

Либо
неожиданно завершен системный процесс ... services.exe с кодом ... и дает минуту на закрытие приложение и перегружает систему.

ЧТо с этим делать?

[Bratez]

Попробовал просто обновить винду поверх

Дистрибутив, надеюсь, с интегрированным SP2? После переустановки "поверх" нужно заново установить пакет обновлений (сообщ. #10). После этого выполните скрипт для отключения лишнего:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

Поскольку нет локалки, отключите также службы "Сервер" и "Модуль поддержки Netbios через TCP/IP". В свойствах подключения к Интернету если в списке компонент присутствует Клиент для сетей NetWare - удалите его.

Сделайте еще раз стандартный комплект логов.

[yuraf]

Кстати у меня ADSL инет. он не использует эти службы?

[V_Bond]

ADSL - эти службы не использует ...

[yuraf]

Опять куча троянов, причем 4.44 спайдер от веба стоит???!!! Логи во вложении.

За пакет обновлений спасибо... только теперь подскажите как избавиться от "активации" винды? У меня дома естно не лицензионка уже сто лет стоит ;(

[V_Bond]

выполните скрипт...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Arp1349', 'Start');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\nwrdr.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Arp1349.SYS','');
 DeleteFile('C:\WINDOWS\System32\Drivers\Arp1349.SYS');
 DeleteFile('C:\Documents and Settings\Yuriy\ie_updates3r.exe');
 DeleteFile('C:\Documents and Settings\Yuriy\Local Settings\Temp\111169.exe');
 DeleteFile('C:\Documents and Settings\Yuriy\Local Settings\Temp\137968.exe');
 DeleteFile('C:\Documents and Settings\Yuriy\Local Settings\Temp\49511.exe');
 DeleteFile('C:\WINDOWS\Temp\11.exe');
 DeleteFile('C:\WINDOWS\Temp\1292438.exe');
 BC_ImportAll;
 BC_DeleteSvc('Arp1349');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил..
повторите логи...

[yuraf]

Логи и карантин во вложении. Восстановление уже отключил.

[Bratez]

Выполните скрипт:

Код:

begin
SetServiceStart('SSDPSRV', 4);
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0P834HOJ\a8f5a020e4b833865a1034489887c8b9[1].zip');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.

Больше ничего подозрительного не видно.
Для пущей уверенности сделайте еще дополнительный лог.
http://virusinfo.info/showthread.php?t=10387