Злобный вирус проник на 2 машины. вот логи с обоих.
(вторые логи в следующем посте)
[moderated: разным машинам - разные темы]
Злобный вирус проник на 2 машины. вот логи с обоих.
(вторые логи в следующем посте)
[moderated: разным машинам - разные темы]
Последний раз редактировалось Shu_b; 14.12.2007 в 15:52.
1 машина - выполните скрипт:
Поищите через AVZ (Сервис - Поиск файлов на диске) файл Nebclbrrnqp.sys, его тоже добавьте в карантин, затем карантин пришлите по п.3 Правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('E:\autorun.inf',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\autorun.inf',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Shu_b; 14.12.2007 в 15:50.
Высылаю файлы карантина. Файл Nebclbrrnqp.sys не найден на машине.
[moderated: карантин должен быть загружен в соответствии с приложением 3 правил]
Выполните еще такой скрипт:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\huadio.tmp',''); DeleteFile('C:\huadio.tmp'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Nebclbrrnqp'); BC_Activate; RebootWindows(true); end.
Карантин загрузите здесь:
http://virusinfo.info/upload_virus.php?tid=15277
I am not young enough to know everything...
Карантин отправил.
Выполните скрипт в AVZ:
Посмотрите, нужно ли вам что-то из этого:Код:begin SetAVZGuardStatus(True); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('E:\autorun.inf'); DeleteFile('C:\n1deiect.com'); DeleteFile('D:\n1deiect.com'); DeleteFile('E:\n1deiect.com'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Лишнее отключим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Службы все можно отключить:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM - лучше оставить
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) - оставить
>> Безопасность: к ПК разрешен доступ анонимного пользователя - оставить
>> Безопасность: Разрешена отправка приглашений удаленному помошнику - отключить
И если возможно, отключить автозапуск флеш-накопителей (если это можно тока совместно с CD значит отключить вместе с CD).
Вот скрипт для отключения ненужного:
Насчет флешек - точно не помню, где-то в ЧаВо было вроде. А можно просто обходить автозапуск, удерживая Shift при подключении USB накопителя, хотя это не всегда удобно физически.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
I am not young enough to know everything...
Сорри за offtop.
В ЧАВО есть тока отключение CD, хотя в темах нашел.
Рекомендуется всетаки вынести это в ЧАВО.
Вот найденный скрипт:
http://virusinfo.info/showpost.php?p=157447&postcount=3Код:procedure DisableAutorun; begin // Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типы, кроме CD) RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); // Блокировка автозапуска (0x4) - заблокировали автозапуск на C: RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 4); end; begin DisableAutorun; end.
http://virusinfo.info/showpost.php?p=150615&postcount=3
Последний раз редактировалось JIEXA77; 19.12.2007 в 09:43.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\autorun.inf - Worm.Win32.AutoRun.asb (DrWEB: Win32.HLLW.Autoruner.1019)
- c:\\windows\\system32\\amvo0.dll - Trojan-GameThief.Win32.WOW.agt (DrWEB: Trojan.PWS.Wsgame.2387)
- d:\\autorun.inf - Worm.Win32.AutoRun.asb (DrWEB: Win32.HLLW.Autoruner.1019)
- e:\\autorun.inf - Worm.Win32.AutoRun.asb (DrWEB: Win32.HLLW.Autoruner.1019)
Уважаемый(ая) JIEXA77, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.