-
Качает трафик при проверке перезагружается
Качает трафик причем исходящего намного больше чем входящего. Установлен Nod32 постоянно обновляется. При сканировании в папке темп нашел червяка Online.Games...(точно не помню). При попытке проверить с помощью cureit.exe или avz4 (проверки и лечение) после начала проверки перезагружается. Поэтому только 2 лога.
Последний раз редактировалось Anton_Petrenko; 24.04.2008 в 21:20.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Igt49\0000', 'CSConfigFlags', '1');
QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('c:\windows\system32\msvcrtd.exe','');
QuarantineFile('Igt49.sys','');
BC_DeleteSvc('Igt49 ');
DeleteFile('Igt49.sys');
DeleteService('msupdate');
DeleteFile('c:\windows\system32\msvcrtd.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=20865
Повторите логи.
-
-
Для начала убьем вот это:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('c:\windows\system32\msvcrtd.exe','');
DeleteFile('c:\windows\system32\msvcrtd.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузите карантин через ссылку вверху темы.
Второй частью будет удаление руткита.
Последний раз редактировалось PavelA; 02.04.2008 в 14:51.
Причина: Гриша опредил, но думаю надо сначала одного убить
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Скрипт выполнил, комп перезагрузился, но в карантине пусто.
Выполнил скрипт "проверки лечения" в безопсном режиме.
Последний раз редактировалось Anton_Petrenko; 24.04.2008 в 21:20.
-
Скачать,меню,File,появится аналог проводника,найти:Igt49.sys,правая кнопка мыши Force Delete.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
DeleteService('Igt49');
DeleteFile('Igt49.sys');
DeleteService('msupdate');
DeleteFile('msupdate.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Igt49 ');
BC_DeleteSvc('msupdate ');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=20865
Повторите логи.
-
-
После выполнения последнего скрипта в безопасном режиме скрипт выполнился без ошибок и комп перезагрузился нормально. И при загрузке в обычном режме NOD32 сразу обнаружил вот эти файлы:
C:\WINDOWS\system32\drivers\symavc32.sys Win32/Rootkit.Agent.HU троян удален
C:\WINDOWS\system32\drivers\Igt49.sys Win32/Rootkit.Agent.HU троян удален
После этого внешние проявления прекратились, трафик больше не качает.
Каринтин отправил.
Свежие логи прилагаются.
Последний раз редактировалось Anton_Petrenko; 24.04.2008 в 21:20.
-
В логах чисто,жалобы есть?
-
-
Логи чистые.
Рекомендуется отключить все что вам не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
-