Добрый день.
Схватили сабж. Вроде убил, но хотелось бы убедиться...
Логи:
Добрый день.
Схватили сабж. Вроде убил, но хотелось бы убедиться...
Логи:
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); SetServiceStart('NDnet1', 4); QuarantineFile('C:\WINDOWS\system32\ksys.sys',''); QuarantineFile('C:\Temp\catchme.sys',''); DeleteFile('C:\WINDOWS\system32\ksys.sys'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_DeleteSvc('NDnet1'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
спасибо. сейчас сделаю..
Добавлено через 15 минут
скрипт выполнил, в карантин ниче не попало.. даже не создался.... могу выслать то, что попало при самом первом запуске (когда ntos килял.. )
Последний раз редактировалось M@xWell; 04.02.2008 в 10:54. Причина: Добавлено
повторите логи ..
вот выложил наконец
Последний раз редактировалось M@xWell; 08.08.2008 в 12:28.
Выполните:
Пришлите карантинКод:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Documents and Settings\Inna.Legkostup\Application Data\ntos.exe',''); DeleteFile('C:\Documents and Settings\Inna.Legkostup\Application Data\ntos.exe'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Сделайте лог virusinfo_syscheck для проверки
PS: catchme.sys это драйвер от антируткита catchme вроде...
есть и другое мнение ... catchme.sys
M@xWell
Тогда вдобавок к скрипту поищите через AVZ catchme.sys и пришлите и его в довесок
нашел 2 catchme ..правда exe .. оба кинул с карантином
Trojan.Win32.Inject.jt C:\Program Files\HaxFix\catchme.exe
Trojan.Win32.Inject.jt C:\WINDOWS\system32\catchme.exe
V_Bond, браво
Выполните:
Лог virusinfo_syscheck повторитеКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\catchme.exef'); DeleteFile('C:\Program Files\HaxFix\catchme.exe'); BC_ImportDeletedList; BC_DeleteSvc('catchme'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
сделол, загрузил..
Последний раз редактировалось M@xWell; 08.08.2008 в 12:28.
в логах чисто ...
авз - Мастер поиска и устранения проблем - выбрать все проблемы устранить ...
что из этого используете ?
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
комп в офисной сетке.. используется удаленный доступ (мной ). а сотрудница что либо сама вряд ли использует...
выполните скрипт ...
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1); SetServiceStart('RDSessMgr', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); RebootWindows(true); end.
уу... я терь не могу удаленно войти после этого скрипта..!!
вы терминально подключаетесь ?
Добавлено через 14 минут
если да
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 2); SetServiceStart('TermService', 2); RebootWindows(true); end.
Последний раз редактировалось V_Bond; 04.02.2008 в 23:18. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\haxfix\\catchme.exe - HEUR:Trojan.Win32.Invader
- c:\\windows\\system32\\catchme.exe - HEUR:Trojan.Win32.Invader
Уважаемый(ая) M@xWell, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.