Здравствуйте.
Завелась дрянь, от которой не могу избавится. При сканировании NOD'ом и CureIT'ом находит трояны и руткиты, но удалить их не могут.
Здравствуйте.
Завелась дрянь, от которой не могу избавится. При сканировании NOD'ом и CureIT'ом находит трояны и руткиты, но удалить их не могут.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O20 - Winlogon Notify: abc32reg - C:\Documents and Settings\All Users\Документы\Settings\abc32.dll (file missing) O20 - Winlogon Notify: botreg - C:\WINDOWS\
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\winlogon.scr',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\newmaxxsv234.exe',''); QuarantineFile('C:\WINDOWS\system32\kernelwind32.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\system.exe',''); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\winmain.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll',''); QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ntoss.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ntosnh.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Djr53.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\asc3550p.sys',''); QuarantineFile('C:\lich.exe',''); QuarantineFile('C:\WINDOWS\system32\msxmqhs.dll',''); DeleteFile('C:\lich.exe'); DeleteFile('C:\WINDOWS\system32\drivers\asc3550p.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Djr53.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ntosnh.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ntoss.sys'); DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll'); DeleteFile('C:\Documents and Settings\LocalService\winmain.exe'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\system32\drivers\system.exe'); DeleteFile('C:\WINDOWS\system32\kernelwind32.exe'); DeleteFile('C:\WINDOWS\system32\newmaxxsv234.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_QrSvc('FCI'); BC_DeleteSvc('FCI'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
карантин отправил
Выполните скрипт в AVZ:
После перезагрузки пофиксите в HijackThis, если останется:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\Temporary Internet Files\Content.IE5\WUDNCM83\a8f5a020e4b833865a1034489887c8b9[1].zip'); DeleteFile('C:\Documents and Settings\catchme.zip'); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys'); DeleteFile('C:\WINDOWS\system32\msxmqhs.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Посмотрите, нужно ли вам что-то из этого:Код:O20 - Winlogon Notify: kerberos4 - C:\WINDOWS\SYSTEM32\msxmqhs.dll
Лишнее отключим.Код:>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
Очистите временные файлы IE через Свойства обозревателя.
I am not young enough to know everything...
Если я правильно все понял - остальное не нужно?
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); RebootWindows(true); end.
[skip]
Если не трудно, сделайте финальный комплект логов для контроля.
Последний раз редактировалось Bratez; 14.12.2007 в 16:48. Причина: со скриптом опоздал :)
I am not young enough to know everything...
финальный комплект
Уже новое появилось.... Называется "антивируса не обнаружено"
Выполните:
Карантин пришлите...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Program Files\WinAble\winable.exe',''); QuarantineFile('C:\WINDOWS\noskrnl.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe',''); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\noskrnl.exe'); DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
пофиксите ...
выполните скрипт ...Код:O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe O4 - HKCU\..\Run: [noskrnl] C:\WINDOWS\noskrnl.exe O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\winlogon.scr',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\Program Files\WinAble\winable.exe',''); QuarantineFile('C:\WINDOWS\noskrnl.exe',''); QuarantineFile('c:\windows\system32\vedxg6ame4.exe',''); DeleteFile('c:\windows\system32\vedxg6ame4.exe'); DeleteFile('C:\WINDOWS\noskrnl.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Поищите вручную через AVZ winable.exe и пришлите файлик по правилам
2V_Bond
Скрипт выполнил. карантин пуст
winlogon.scr - очень интересен ...
ни winable.exe ни winlogon.scr AVZ не нашел
Тогда давайте еще раз логи посмотрим
еще раз логи...
логи нужны не в safe mode
уфф... ща
Здравствуйте.
Вчера не получилось залить логи на форум.
Уважаемый(ая) hexm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.