Такая тема уже есть, но файл, указанный в ней у меня не находится. поэтому обращаюсь за помощью
Такая тема уже есть, но файл, указанный в ней у меня не находится. поэтому обращаюсь за помощью
пофиксите ...
отключите антивирус ...Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: (no name) - {2D912527-7744-40A7-A188-FCFB8FC4CF89} - C:\WINDOWS\system32\CddbLangI.dll O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O23 - Service: Adfpddnkqtu - Unknown owner - (no file)
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\Rflw53.sys',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\Sgyo58.sys',''); QuarantineFile('C:\WINDOWS\system32\CddbLangI.dll',''); DeleteFile('C:\WINDOWS\system32\CddbLangI.dll'); BC_DeleteFile('C:\WINDOWS\system32\drivers\nfdbuivg.dat'); BC_DeleteFile('C:\WINDOWS\system32\drivers\Sgyo58.sys'); BC_DeleteFile('\SystemRoot\system32\drivers\nfdbuivg.dat'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('C:\WINDOWS\system32\drivers\Rflw53.sys '); BC_ImportAll; BC_DeleteSvc('Rflw53'); BC_DeleteSvc('Sgyo58'); BC_DeleteSvc('bpfbwamh'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
повторите логи...
угу
1.2.Код:begin SearchRootkit(false, true); DelBHO('2D912527-7744-40A7-A188-FCFB8FC4CF89'); RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','Adfpddnkqtu'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\bpfbwamh', 'Start'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Sgyo58', 'Start'); RebootWindows(true); end.Повторите логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); BC_DeleteFile('C:\WINDOWS\system32\CddbLangI.dll'); BC_DeleteFile('C:\WINDOWS\system32\drivers\Sgyo58.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\nfdbuivg.dat'); BC_DeleteSvc('Sgyo58'); BC_DeleteSvc('bpfbwamh'); BC_Activate; RebootWindows(true); end.
Добавлено через 7 минут
Из карантина:
Trojan.Win32.BHO.abo C:\WINDOWS\system32\CddbLangI.dll
Rootkit.Win32.Agent.kbC:\WINDOWS\system32\drivers\Rflw53.sys
Rootkit.Win32.Agent.px C:\WINDOWS\system32\drivers\Sgyo58.sys
Последний раз редактировалось rubin; 08.12.2007 в 19:56. Причина: Добавлено
есть
Почти чисто...
Сделайте дополнительный лог
Выполните скрипт:
Затем:Код:begin RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Adfpddnkqtu', 'Start'); RebootWindows(true); end.
Карантин пришлите и повторите последний логКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\drivers\Adfpddnkqtu.sys',''); BC_QrFile('C:\WINDOWS\system32\drivers\Adfpddnkqtu.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\Adfpddnkqtu.sys'); BC_DeleteSvc('Adfpddnkqtu'); BC_Activate; RebootWindows(true); end.
сделано. только когда лог карантина делал, Касперский на эти файлы ругаться стал. удалил, не страшно?
в логах чисто ...
какие-то проблемы остались ?
вроде нет. аутпост никакой неопознанной активности не показывает.
спасибо огромное
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Что из этого не нужно?
машина домашняя, но ось ставилась с образа сисадмина, поэтому и работают эти службы по ходу
так что нафиг:
Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
если нет локалки ... то так ...
выполните скрипт ....
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 28
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\cddblangi.dll - Rootkit.Win32.Podnuha.y (DrWEB: Trojan.DownLoader.37561)
- c:\\windows\\system32\\drivers\\rflw53.sys - Trojan.Win32.Srizbi.gt (DrWEB: Trojan.NtRootKit.433)
- c:\\windows\\system32\\drivers\\sgyo58.sys - Rootkit.Win32.Agent.px (DrWEB: Trojan.Sentinel)
Уважаемый(ая) ilyais, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.