Продолжение пятничного лечения, только уже следующий комп и другой набор вирусов был.
Продолжение пятничного лечения, только уже следующий комп и другой набор вирусов был.
1.В avz выполнить скрипт:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZPMStatus(true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\win_kernel.exe',''); QuarantineFile('C:\WINDOWS\reg32kern.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\ntosnh.sys',''); QuarantineFile('C:\WINDOWS\system32\w32drv10.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); DeleteFile('C:\WINDOWS\win_kernel.exe'); DeleteFile('C:\WINDOWS\reg32kern.exe'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
2.Выслать карантин согласно приложению 3 правил
После выполнения скрипта комп уходит на перезагрузку и виснет. Лог не сохраняется, карантин вчерашний
Добавлено через 1 минуту
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\win_kernel.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\win_kernel.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\reg32kern.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\reg32kern.exe)
Карантин с использованием прямого чтения - ошибка
Выполнен карантин файла C:\WINDOWS\system32\drivers\ntosnh.sys
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\w32drv10.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\w32drv10.exe)
Карантин с использованием прямого чтения - ошибка
Выполнен карантин файла C:\WINDOWS\system32\DRIVERS\tcpip.sys
Удаление файла:C:\WINDOWS\win_kernel.exe
>>>Для удаления файла C:\WINDOWS\win_kernel.exe необходима перезагрузка
Удаление файла:C:\WINDOWS\reg32kern.exe
>>>Для удаления файла C:\WINDOWS\reg32kern.exe необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ
Добавлено через 38 секунд
Это при исключении перезагрузки из скрипта
Последний раз редактировалось D61; 18.12.2007 в 12:06. Причина: Добавлено
И где карантин? Не присылали?Выполнен карантин файла C:\WINDOWS\system32\drivers\ntosnh.sys
Выполнен карантин файла C:\WINDOWS\system32\DRIVERS\tcpip.sys
Добавлено через 6 минут
Пофиксте в HijackThis следующие строки:
Обновите базы AVZ и сделайте новые логи.O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [C:\WINDOWS\win_kernel.exe] C:\WINDOWS\win_kernel.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [C:\WINDOWS\reg32kern.exe] C:\WINDOWS\reg32kern.exe
Последний раз редактировалось AndreyKa; 18.12.2007 в 13:32. Причина: Добавлено
3 пофиксил 2 и 5 не нашел
Логи
Карантин послал
Выполните скрипт:
Пришлите новый карантин, если будет не пустой.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\SYSTEM32\ovrscn.dll',''); DeleteFile('C:\WINDOWS\SYSTEM32\ovrscn.dll'); DeleteFile('C:\WINDOWS\system32\w32drv10.exe'); DeleteFile('C:\WINDOWS\system32\drivers\ntosnh.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Выполнил, послал карантин (2 объекта)
Последний раз редактировалось D61; 19.12.2007 в 11:40. Причина: Очепятки
Карантин пришел пустой.
Запустите AVZ.
Выполните скрипт через меню Файл:
Сделайте новый лог HijackThis.Код:begin DelBHO('B863453A-26C3-4e1f-A54D-A2CD196348E9'); DelCLSID('73B24247-042E-4EF5-ADC2-42F62E6FD654'); DeleteService('stisvcdmadmin'); end.
Вот лог (не перезагружался)
Все в порядке. Пофиксите эту строчку:
Посмотрите, нужно ли вам что-то из этого списка:Код:O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
Лишнее отключим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
Какие-то проблемы еще есть?
I am not young enough to know everything...
Спасибо. Про проблемы "будем посмотреть" Здесь была проблема большого трафика наружу(спам), по 200 мег за несколько часов утекало
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 14
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) D61, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.