-
Junior Member
- Вес репутации
- 60
заражено - bolenjx.exe
1. даже в сейф режиме не грузяться антивири, HijackThis spywaredoctor и пр.
2. Пришибить процесс subj после двух дней борьбы не удается - не стиранием зараженных файлов, которые все время разные (user32.dat, bolenjx.exe blh.) не чистой реестра; всё в safe mode
3. avd работает после переименования ехе и папки - логи по инструкции приаттачил
4. Помогите, все перепробовали, закавыка какая-то
Последний раз редактировалось ivklim; 03.09.2008 в 15:01.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('kus552.dat','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\users32.dat','');
QuarantineFile('c:\windows\system32\bolenjx.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\KCOM.SYS','');
DeleteFile('C:\WINDOWS\system32\drivers\KCOM.SYS');
DeleteFile('c:\windows\system32\bolenjx.exe');
DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('kus552.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
-
Junior Member
- Вес репутации
- 60
1. выполнил скрипт
1a после рестарта онлайн трендмикро офисскан находит тоже самое
2 все присоеденил и отослал
Последний раз редактировалось ivklim; 03.09.2008 в 15:01.
-
C:\WINDOWS\system32\users32.dat not-a-virus:AdWare.Win32.Agent.zo
c:\windows\system32\bolenjx.exe Trojan.Dropper
C:\WINDOWS\System32\Drivers\Beep.SYS Generic.Malware.P!.46410F49
отключите все защитные программы
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('kus552.dat','');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\kus552.dat');
DeleteFile('C:\WINDOWS\kus552.dat');
DeleteFile('c:\windows\system32\bolenjx.exe');
DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('kus552.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
virus.zip - прикреплять к теме нельзя - удалите ... это карантин .... его отсылают согласно приложения 3 по ссылке над темой ..
Последний раз редактировалось V_Bond; 23.01.2008 в 09:07.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 60
В скрипте ошибка
Too many actual parameters в позиции 5:15
-
-
-
Junior Member
- Вес репутации
- 60
где новый скрипт ?
Добавлено через 2 минуты
въехал - там же где и старый
Последний раз редактировалось ivklim; 23.01.2008 в 09:15.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось ivklim; 03.09.2008 в 15:01.
-
Junior Member
- Вес репутации
- 60
HiJackThis заработал
лог с него прикрепил
Последний раз редактировалось ivklim; 03.09.2008 в 15:01.
-
В логах чисто.
Посмотрите, что из этого нужно:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Лишнее отключим.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
всем спасибо
лишнее сами отключим - тут все понятно
комп чистый
до скорых встеч