Заражены все файлы с расширением *exe
Заражены все файлы с расширением *exe
Запишите на компакт диск (желательно с другой, здоровой машины) лечащую утилиту CureIt, сделать с компакт диска полную проверку
Я уже делала полную проверку компа этой утилитой. Что дальше? Основная масса зараженных файлов у меня в карантине сидит. (стоит антивирус нод 32)
пофиксите ...
выполните скрипт ...Код:O20 - AppInit_DLLs: C:\WINDOWS\system32\svch8u1.dll O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\makehm.exe',''); QuarantineFile('C:\WINDOWS\system32\svshost.dll',''); QuarantineFile('C:\WINDOWS\system32\svch8u1.dll',''); QuarantineFile('C:\WINDOWS\system32\ldr.exe',''); DeleteFile('C:\WINDOWS\system32\ldr.exe'); DeleteFile('C:\WINDOWS\system32\svch8u1.dll'); DeleteFile('C:\WINDOWS\system32\svshost.dll'); DeleteFile('C:\WINDOWS\system32\makehm.exe'); DeleteFile('C:\Documents and Settings\Natasha_\Local Settings\Temp\tmp_98.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
+ добавте в карантин несколько файлов зараженных вирусом ...
Пофиксила один из указанных кодов, второго (O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing) в списке не оказалось
Еще не знаю как добавить в карантин файлы из карантина нод 32, как нужно вводить имя файла? При обнаружении нодом они были удалены и помещены в карантин.
в карантине ....
C:\Documents and Settings\Natasha_\Local Settings\Temp\tmp_98.exe -Trojan.MulDrop.9286
повторите логи ....
Обновила AVZ
Все в порядке, немного мусора осталось.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Посмотрите, нужно ли вам что-то из этого:Код:begin BC_DeleteSvc('ntoss.sys'); BC_DeleteSvc('ntosnh.sys'); BC_DeleteSvc('asc3550o'); BC_Activate; RebootWindows(true); end.
Лишнее отключим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
Сделала все что вы сказали, высылаю логи и карантин на всякий случай
Из того , что вы написали не нужно только
(Диспетчер сеанса справки для удаленного рабочего стола)
остальное я бы оставила
Последний раз редактировалось Shu_b; 13.12.2007 в 23:02.
Еще вопрос - Изначально проверку системы делала нод 32, очень много файлов было удалено и помещено в карантин.Файлы из карантина НОД32 можно удалить?
что -то опять полно ....
пофиксите ...
выполните скрипт ...Код:O4 - HKCU\..\Run: [noskrnl] C:\WINDOWS\noskrnl.exe O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Natasha_\LOCALS~1\Temp\winlogon.exe
пришлите карантин согласно пиложения 3 правил ...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\noskrnl.exe',''); QuarantineFile('C:\DOCUME~1\Natasha_\LOCALS~1\Temp\winlogon.exe',''); DeleteFile('C:\WINDOWS\noskrnl.exe'); DeleteFile('C:\DOCUME~1\Natasha_\LOCALS~1\Temp\winlogon.exe'); BC_DeleteSvc('qqd.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Все сделала, высылаю логи и карантин
[moderated! карантин нужно прислать согласно приложения 3 правил]
Последний раз редактировалось Shu_b; 13.12.2007 в 23:01.
в логах чисто ....
осталось ... убрать карантин из сообщения ... и загрузить по ссылке над темой ...
и разобратся с этим ... что вами используется ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Карантин выслала как требуется, извиняюсь за ошибку.
Мной используется все, кроме службы удаленного доступа.
И еще мне не ответили, удалять ли файлы из карантина нод 32, которым я изначально проверяла систему?
файлы удаляйте ....
насчет служб .... не понял .... у вас машина в сети , ипользуете терминальный режим и сисадмин удаленно администрит ваш компьютер ?
Последний раз редактировалось V_Bond; 13.12.2007 в 23:58.
Нет, у меня машина не в сети, удаленный доступ не используется, как и терминальный режим (я вообще не знаю что это такое))))
тогда можно оставить только автозапуск ...
выполните скрипт ...
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
Большое спасибо за помощь!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\natasha_\\doctorweb\\quarantine\\connect ionservices.dll - Trojan.Win32.ConnectionServices.m (DrWEB: Trojan.BitAcc)
Уважаемый(ая) Nats, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.