один из зараженных компов после чистки sector.5.. поставлен дрвеб с диска.. однако проверено еще раз - вирусы в системе есть, при попытке проверить комп сканером - перезагрузка..
один из зараженных компов после чистки sector.5.. поставлен дрвеб с диска.. однако проверено еще раз - вирусы в системе есть, при попытке проверить комп сканером - перезагрузка..
Последний раз редактировалось Maximus_1982; 20.06.2008 в 17:14.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\R1vfEunv.exe',''); QuarantineFile('C:\WINDOWS\system32\fP8EX73e.exe',''); DeleteFile('C:\WINDOWS\system32\fP8EX73e.exe'); DeleteFile('C:\WINDOWS\system32\R1vfEunv.exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Qtn07'); BC_DeleteSvc('aic32p'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=24750).
Удалите все задания в Планировщике.
I am not young enough to know everything...
загрузил
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
готово
Последний раз редактировалось Maximus_1982; 20.06.2008 в 17:14.
как я понимаю пофиксить winnt64, и по 8 пункту avz все отключить выполнив
begin
SetServiceStart('Schedule', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAn onymous', 2);
SearchRootkit(true, true);
RebootWindows(true);
end.
?
Почти угадали
Пофиксите в HijackThis:
Ненужные службы можно отключить и через services.msc, а анонимный доступ пусть живет - он нужен для локальной сети, если таковая имеется.Код:O20 - Winlogon Notify: WinNt64 - WinNt64.dll (file missing)
Добавлено через 3 минуты
Ничего плохого больше не видно, но Sector штука коварная. Лучше всего делать, как написано здесь: http://virusinfo.info/showthread.php?t=15927 (способ #1).
Последний раз редактировалось Bratez; 18.06.2008 в 09:01. Причина: Добавлено
I am not young enough to know everything...
да это я уж понял.. я уже 2-ю неделю борюсь.. главное приходится лечить не все сразу а постепенно иначе криков будет.. сетка на 200 машин
где то видел он еще в каком то ini файле может следы оставлять? не подскажите какой файл..
насколько критичен аноним в сети если на компах не будет расшареных папок?
и еще вопрос
Функция NtConnectPort (1F) перехвачена (805A2FF4->8360F840), перехватчик не определен
вот это вот все время на всех компах.. это антивирусник или что то другое себя проявляет..
Последний раз редактировалось Maximus_1982; 18.06.2008 в 09:16.
Уважаемый(ая) Maximus_1982, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.