помогите выгнать чертей
помогите выгнать чертей
Последний раз редактировалось aleex17; 31.01.2008 в 18:47.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINDOWS\system32\ovrscn.dll',''); QuarantineFile('D:\WINDOWS\system32\ntos.exe',''); QuarantineFile('D:\WINDOWS\system32\mmssyziyz.dll',''); QuarantineFile('D:\WINDOWS\System32\KernelDrv.exe',''); QuarantineFile('D:\WINDOWS\system32\drivers\pxark.sys',''); QuarantineFile('D:\WINDOWS\system32\ovwscn.sys',''); QuarantineFile('D:\WINDOWS\system32\ovrscn.sys',''); QuarantineFile('D:\WINDOWS\system32\aspimgr.exe',''); QuarantineFile('D:\WINDOWS\System32\lanmandrv.sys',''); QuarantineFile('D:\WINDOWS\system32\mswmsys.dll',''); QuarantineFile('D:\WINDOWS\System32\lanmanwrk.exe',''); DeleteFile('D:\WINDOWS\System32\lanmanwrk.exe'); DeleteFile('D:\WINDOWS\System32\lanmandrv.sys'); DeleteFile('D:\WINDOWS\system32\aspimgr.exe'); DeleteFile('D:\WINDOWS\system32\ovrscn.sys'); DeleteFile('D:\WINDOWS\system32\ovwscn.sys'); DeleteFile('D:\WINDOWS\System32\KernelDrv.exe'); DeleteFile('D:\WINDOWS\system32\mmssyziyz.dll'); DeleteFile('D:\WINDOWS\system32\ntos.exe'); DeleteFile('D:\WINDOWS\system32\ovrscn.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=17302).
Сделайте новые логи, все три по правилам.
I am not young enough to know everything...
закачал карантин
Хорошо, ждем логи.
I am not young enough to know everything...
логи
Последний раз редактировалось aleex17; 01.02.2008 в 16:21.
Для информации:
lanmandrv.sys - Rootkit.Win32.Agent.tc
Сидит на месте, гад. А почему "Восстановление системы" включено?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
отключил и еще раз проверил
Последний раз редактировалось aleex17; 01.02.2008 в 16:21.
вроде нету гянь
и есть какие то советы по серфингу и пользованием антивирусов так чтоб не нахватать опять червей
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; DelWinlogonNotifyByKeyname( 'ovrscn'); BC_QrSvc('Vrdn44'); BC_DeleteSvc('Vrdn44'); BC_Activate; RebootWindows(true); end.
Пришлите новый карантин согласно приложению 3 правил, если будет не пуст.
Сделайте логи, начиная с п.10 правил (syscheck и HijackThis).
Добавлено через 51 секунду
Посмотрите, нужно ли вам что-либо из этого:
Лишнее отключим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
Последний раз редактировалось Bratez; 01.02.2008 в 03:44. Причина: Добавлено
I am not young enough to know everything...
давате оставим тока это
Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
остальное отрубим
карантин вроде как пуст
Последний раз редактировалось aleex17; 02.02.2008 в 15:06.
Похоже, сделали п.10, а прикрепили старый лог от п.8.
Вот скрипт для отключения ненужного:
Добавлено через 52 секундыКод:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('Alerter', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
Сделайте снова логи, начиная с п.10 правил (syscheck и HijackThis).
Последний раз редактировалось Bratez; 01.02.2008 в 16:30. Причина: Добавлено
I am not young enough to know everything...
добавил
Последний раз редактировалось aleex17; 02.02.2008 в 15:06.
Тэкс, новенькое появилось!
Выполните такой скрипт:
Если в карантин что-то попадет, пришлите по правилам.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINDOWS\system32\ntos.exe',''); DeleteFile('D:\WINDOWS\system32\ntos.exe'); BC_DeleteFile('D:\WINDOWS\system32\ntos.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Про логи, начиная с п.10 правил, уже как-то и неудобно говорить...
I am not young enough to know everything...
вложил
Последний раз редактировалось aleex17; 02.02.2008 в 15:06.
Это до последнего скрипта или после?
Скрипт отключения лишних сервисов не выполняли?
Пофиксите в HijackThis:
Код:F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\ntos.exe, O21 - SSODL: MSWM - {50BAE82D-9C3E-46A0-A3EE-7EF0E916D8C9} - mswmsys.dll (file missing)
I am not young enough to know everything...
пок нет добавил тока карантин еще
Добавлено через 5 минут
скрипт отключения лишних сервисов не выполняли?
выполнил сейчас
что дале делать
Последний раз редактировалось aleex17; 01.02.2008 в 17:10. Причина: Добавлено
Повторите лог HijackThis.
I am not young enough to know everything...
повторил
Последний раз редактировалось aleex17; 02.02.2008 в 15:06.
ntos.exe - Trojan-Spy.Win32.Zbot.abd - успешно удален.
А эту строчку фиксили или нет:
Код:O21 - SSODL: MSWM - {50BAE82D-9C3E-46A0-A3EE-7EF0E916D8C9} - mswmsys.dll (file missing)
I am not young enough to know everything...
Уважаемый(ая) aleex17, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.