При запуске стандартных скриптов в AVZ комп перезагружается
Здравствуйте, с праздниками!
Не могу выполнить пункт 8 правил, так как AVZ не завершает работу ("Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info") - происходит перезагрузка и никакого LOG.
В перспективе лечение от целого букета троянов - smtpdrv.sys, smtpdrv.exe, ip6fw.sys, jto22.sys, bbv34.sys, qlj31.sys и пр. Это то, что Dr.Web нашел и удалил, обозначив как Backdoor.Bulknet и Trojan.NTRootkit (но они возвращаются). smtpdrv.exe удалить не может даже в Safe Mode и с правами администратора.
P.S. Извиняюсь, если это дубль предыдущего поста. Страница не отобразилась, и моя тема, по-моему, потерялась.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Два предложенных скрипта выполнил.
Параллельно с каждой перезагрузкой SpiderGuard сообщал о том, что он исцелил smtpdrv.sys и прочие. Причем не один раз.
Карантин пытался загрузить по ссылке. После нажатия по кнопке страничка повисела и выбросила на бланк "не могу отобразить". Так что не уверен, что карантин дошел по месту назначения.
Пофиксить смог только две строки из пяти. Первой (F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe) просто не было. Две, начинающиеся как (O20 - Winlogon Notify заканчивались по-другому, а именно: вместо file missing - D:\WINDOWS. Не стал фиксить.
Повторил логи. Лог №1 по-прежнему вызывает перезагрузку. 2 остальных прилагаются.
Да, точно. Скрипт вылетает на перезагрузку без окошка "Выполнен без ошибок". Так же, как при попытке создать лог №1 (лечение/карантин и сбор инфы). Видимо, скрипт в посте #6 тоже не сработал, просто я не заметил разницы в перезагрузке.
2 строчки пофиксил. Логи в прил.
скачать ...
- отключить антивирус и фаервол
- оключиться от интернета
tools - wipe/copy file - browse и находим файл D:\WINDOWS\system32\Drivers\Ffh48.sys (тоже самое и для Ouf43.sys) ... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
затем выполните скрипт ....
повторите последний лог авз ...
Простите, я, прежде чем начать, хотел уточнить. У меня стоит Dr. Web со всеми Spider'ами. Они в фоновом режиме что-то там ловят. Как их отключить, я не понял. Могу насильно выкинуть из процессов в Диспетчере задач все, что начинается на spider, но значки в трее после этого остаются как ни в чем не бывало.
И нужно ли также выключать Брандмауэр Win XP Pro SP2?
Выполнил 2 скрипта (от V_Bond и Bratez) в Safe Mode. Успешно. Лог о сборе инфы в прил.
Отключил SpiderGuard и SpiderMail (через Панель управления). Установил RootkitUnHooker в обычном режиме без и-нета и антивирусов. Сообщение о паразите внутри то же, но после того, как он его уничтожил, программа продолжила работать. Файлов, указанных в сообщении V_Bond (Ffh48.sys и Ouf43.sys), не обнаружил.
Последний раз редактировалось noodles; 08.01.2008 в 14:18.
Причина: добавлено
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Авторан.инф отправил. Это флешка, так как я запарился работать с и-нетом на зараженном компе (тормозит нереально из-за левого трафика) и воткнул его в ноутбук, а файлы на флешке переношу. Spider сказал мне уже, что флешка заражена (setup.exe) тем же самым, но сам удалил его и теперь вроде не жалуется.
Из предоставленного списка мне наверно важен только "административный доступ к локальным дискам", так как сейчас работаю из-под Администратора. Остальное, особенно что касается служб, мне как ламеру ничего не говорит Комп домашний, многопользовательский, системасистиков среди пользователей нет. Так что лучше проще, но безопаснее.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: