Проделал все описанное в правилах, наловил кучу вирусов, восстановил политики для поль-ля через AVZ. Никаких признаков зараженя, однако как только подключил - опять стали обнаруживаться вирусы.
Проделал все описанное в правилах, наловил кучу вирусов, восстановил политики для поль-ля через AVZ. Никаких признаков зараженя, однако как только подключил - опять стали обнаруживаться вирусы.
Последний раз редактировалось ascodts; 22.05.2008 в 12:03.
выполните скрипт ....
пришлите карантин согласно приложения 3 праил ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\TEMP\ieobj.dll',''); QuarantineFile('sazmgr32.dll',''); QuarantineFile('WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\yhm.exe',''); QuarantineFile('C:\WINDOWS\system32\windres.exe',''); QuarantineFile('C:\WINDOWS\system32\svshost.dll',''); QuarantineFile('C:\WINDOWS\system32\servsq.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\c++.exe',''); QuarantineFile('C:\WINDOWS\system32\TFNF5.exe',''); QuarantineFile('C:\WINDOWS\system32\00THotkey.exe',''); QuarantineFile('C:\WINDOWS\System32\odfwbc19.dll',''); QuarantineFile('000StTHK.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll',''); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe',''); BC_DeleteSvc('Rypn67'); BC_DeleteSvc('protect'); QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys',''); BC_DeleteSvc('lanmandrv'); QuarantineFile('C:\WINDOWS\System32\lanmandrv.sys',''); BC_DeleteSvc('kcp'); QuarantineFile('C:\WINDOWS\system32\drivers\kcp.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys',''); BC_DeleteSvc('Dkq41'); QuarantineFile('C:\WINDOWS\System32\Drivers\Dkq41.sys',''); BC_DeleteSvc('diperto359c-7060'); QuarantineFile('C:\WINDOWS\system32\diperto359c-7060.sys',''); BC_DeleteSvc('Schedule'); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); BC_DeleteSvc('Google Online Search Service'); QuarantineFile('C:\WINDOWS\system32\winlagons.exe',''); DeleteFile('C:\WINDOWS\system32\winlagons.exe'); DeleteFile('C:\WINDOWS\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\system32\diperto359c-7060.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Dkq41.sys'); DeleteFile('C:\WINDOWS\system32\drivers\kcp.sys'); DeleteFile('C:\WINDOWS\System32\lanmandrv.sys'); DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll'); DeleteFile('000StTHK.exe'); DeleteFile('C:\WINDOWS\System32\odfwbc19.dll'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\servsq.exe'); DeleteFile('C:\WINDOWS\system32\svshost.dll'); DeleteFile('C:\WINDOWS\system32\windres.exe'); DeleteFile('C:\WINDOWS\system32\yhm.exe'); DeleteFile('WLCtrl32.dll'); DeleteFile('sazmgr32.dll'); DeleteFile('C:\WINDOWS\TEMP\ieobj.dll'); DelBHO('{B3B010A1-A877-4CD7-BAB5-9EE8F9965E20}'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ....
пофиксите ....
выполните скрипт ...Код:O20 - Winlogon Notify: asqmgr - asqmgr32.dll (file missing) O20 - Winlogon Notify: crypt - crypts.dll (file missing) O20 - Winlogon Notify: ksdmgr - ksdmgr32.dll (file missing) O20 - Winlogon Notify: odfwbc19 - C:\WINDOWS\ O20 - Winlogon Notify: odfwbc21 - C:\WINDOWS\ O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\ O20 - Winlogon Notify: sazmgr - C:\WINDOWS\ O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\ O20 - Winlogon Notify: wmpudbms - C:\WINDOWS\
пришлите карантин согласно приложения 3 правил ....Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\crypserv.exe',''); QuarantineFile('C:\WINDOWS\system32\cisvc.exe',''); QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe',''); QuarantineFile('C:\WINDOWS\system32\imapi.exe',''); QuarantineFile('C:\WINDOWS\system32\netdde.exe',''); QuarantineFile('C:\WINDOWS\system32\locator.exe',''); QuarantineFile('C:\WINDOWS\system32\rsvp.exe',''); QuarantineFile('C:\WINDOWS\system32\spoolsv.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys',''); QuarantineFile('C:\WINDOWS\system32\spoolvs.exe',''); DeleteFile('C:\WINDOWS\system32\spoolvs.exe'); BC_Importall; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Отправляю, а логи нужны?
C:\WINDOWS\system32\crypserv.exe - чист
Остальные в карантин не попали.
Да, логи нужны - с п.10 Правил
Имелось ввиду начиная с п.10 правил, т.е. нужен ещё hijackthis.log
http://www.tksinc.us/downloads/WinsockXPFix.exe - скачайте , запишите настройки интернет ( после применения прграммы придется вводить заново) ...
пуск выполнить sfc /scannow - понадобится диск с дистрибутивом ...
повторите логи начиная с пункта 10 праил ...
sfc /scannow - выполнили ?
Да, конечно.
Выполните скрипт в AVZЗагрузите карантин согласно приложению №3 правил. mail.z62.ru Вам знаком? Есть расшареные папки?Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('c:\windows\system32\winlogon.exe',''); DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Карантин отправил. Сервер mail.z62.ru мне знаком. Запустил на нем поиск вирусов.
Пуск - Выполнить:
Введите комадну: sfc /scannow
Windows будет проверять целостность защищённых файлов на вашем компе. Для восстановления может потребоваться установочный диск ОС. Повторите лог virusinfo_syscheck.zip
Нет! Жалоб нет уже давно, просто уже имел опыт недоведения до конца - это не надолго.
Есть другая проблема. Я администрю небольшой офис и заразы водяться почти везде. Я слабо представляю принцип возмещения трудозатрат на лечение 1-й то машины, а прогнать через Вас весь свой парк мне совесть не позволит.
Принципиально я подготовился к внесению некоторой суммы через Yandex-деньги, но затрудняюсь с оценкой адекватного размера.
Не волнуйтесь, нам все равно чьи машины лечить. Главное чтобы каждой машине была своя тема.
Уважаемый(ая) ascodts, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.