У знакомых веб нашел зверинец... но кажется вычистил не все
У знакомых веб нашел зверинец... но кажется вычистил не все
Последний раз редактировалось glit; 17.03.2008 в 13:46.
и еще - не получилось обновить AVZ - какие-то ошибки...
Выполните скрипт в AVZЗагрузите карантин согласно приложению №3 правил. Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\KB_963491.exe',''); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\Rar$EX00.828\Christmas.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys',''); QuarantineFile('C:\WINDOWS\system32\poof.sys',''); QuarantineFile('C:\WINDOWS\system32\kprof.sys',''); DeleteFile('C:\WINDOWS\system32\kprof.sys'); DeleteFile('C:\WINDOWS\system32\poof.sys'); DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\Rar$EX00.828\Christmas.exe'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\system32\KB_963491.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_DeleteSvc('smtpdrv'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('poof'); BC_DeleteSvc('kprof'); BC_ImportALL; BC_Activate; ExecuteSysClean; ExecuteRepair(13); RebootWindows(true); end.
В дополнение к тому, что написал Maxim, перед созданием новых логов, выполните также следующее: пофиксите с помощью Hijackthis, если останутся, строки:Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O4 - HKLM\..\Run: [Microsoft] mswinsvcr.exe O4 - HKLM\..\Run: [Winmplayer] "C:\WINDOWS\system32\KB_963491.exe" O4 - HKLM\..\Run: [Internet Printer Driver] msnt3ch.exe O4 - HKLM\..\RunServices: [Microsoft] mswinsvcr.exe O4 - HKLM\..\RunServices: [Internet Printer Driver] msnt3ch.exe O4 - HKCU\..\Run: [Internet Printer Driver] msnt3ch.exe O4 - HKCU\..\Run: [ChristmasTree] C:\DOCUME~1\User\LOCALS~1\Temp\Rar$EX00.828\Christmas.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ?Код:begin Clearhostsfile; end.
Результат загрузки
Файл сохранён как 080122_063415_virus_4795e2c78df2f.zip
Размер файла 406805
MD5 316fa9974d0c005e6f8767d364ad2c1e
Где повторные логи?
В логах всё нормально. Проблема решена?
P.S.: У Вас раньше стоял kerio firewall?
Пожалуй подчистим этот драйвер.
Выполните скрипт в AVZПовторите лог virusinfo_syscheck.zip.Код:begin BC_DeleteSvc('fwdrv.sys'); BC_Activate; RebootWindows(true); end.
чистка прошла успешно ....
что из этого нужно ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
К сожалению, я не знаю где используется компутер, но точно уверен что он используется для работы, поэтому все отключать явно не стоит.
Я бы отключил автозапуск программ с CDROM и NetMeeting Remote Desktop Sharing
отключаем ...
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('mnmsrvc', 4); RebootWindows(true); end.
Вобщем-то я так и подумал ;-)
Уважаемый(ая) glit, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.