Ситуация схожая с этой темой на форуме
http://virusinfo.info/showthread.php?t=13494
Логи прикрепляю
Ситуация схожая с этой темой на форуме
http://virusinfo.info/showthread.php?t=13494
Логи прикрепляю
Последний раз редактировалось Luka_; 05.02.2008 в 17:19.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R3 - Default URLSearchHook is missing F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\idaw64.exe,C:\WINDOWS\system32\vmware-ufad.exe,C:\WINDOWS\system32\ntos.exe, O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\idaw64.exe',''); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Lry53.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Cmnd58.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Cmnd58.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Lry53.sys'); DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\system32\idaw64.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
Высылаю логи...
Последний раз редактировалось Luka_; 05.02.2008 в 17:19.
Карантина вашего нет.
В логах ничего подозрительного не видно...
А почему они в безопасном режиме? В обычном не получается?
Два антивируса - это плохо, надо один убрать.
I am not young enough to know everything...
В безопасном режиме делалось, потому что в обычном режиме даже запуск Dr.Web - CureIT комп уходит в перезагрузку..
Сейчас проверю еще раз запустить..
Два антивира стоит, не знаю почему. До меня видать пытались както полечить эту ситуацию. Каспер оставлю, он корпоративный, а НОД удалю.
Спс за помощь..
З.Ы. Все нормально, спасибо ребят !
Последний раз редактировалось Luka_; 26.12.2007 в 14:42.
Карантин все таки пришлите, нужен для анализа.
I am not young enough to know everything...
Сорри за задержку. Скидываю логи:
Последний раз редактировалось Luka_; 05.02.2008 в 17:19.
А где вчерашний карантин - пришлите, загружать тут:
http://virusinfo.info/upload_virus.php?tid=15683
Потом выполните такой скрипт:
Если вдруг карантин будет не пустой - пришлите по правилам.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\shil03\LOCALS~1\Temp\winlogon.exe',''); DeleteFile('C:\DOCUME~1\shil03\LOCALS~1\Temp\winlogon.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Посмотрите, нужно ли вам что-то из этого:
Лишнее отключим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешены терминальные подключения к данному ПК >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Профиксить:
Код:O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\shil03\LOCALS~1\Temp\winlogon.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Два файла с каратнином отправил.
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\shil03\LOCALS~1\Temp\winlogon.exe
не удалось пофиксить, отсутствует запись
прикрепляю лог
Последний раз редактировалось Luka_; 05.02.2008 в 17:19.
Проблема решена?
В первом карантине ничего интересного, второй пустой.
Больше ничего подозрительного у вас нет.
I am not young enough to know everything...
Карантин пустой, делаем контрольные логи,как в первом сообщении. После них будем выписывать из больницы
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) Luka_, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.