-
Junior Member
- Вес репутации
- 58
Не работающий Symantec + зараза
Win2000 Криво поставлен symantec поведение машинки неадекватное, явно гадость присутствует. Сумантек не удаляется (ошибка в процессе удаления) в результате ставить KIS нельзя пока сумантек не удален. Выкладываю логи. Возможно удалить сумантек посредством AVZ ?
Последний раз редактировалось als-a; 17.02.2009 в 14:15.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сначала попытемся зловредов поубирать, а то они все-равно ничего поставить не дадут.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\kwxme.pif','');
QuarantineFile('F:\autorun.inf','');
DelBHO('{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}');
DeleteService('asc3360pr');
QuarantineFile('C:\WINNT\system32\drivers\ofmlhk.sys','');
DeleteFile('C:\WINNT\system32\drivers\ofmlhk.sys');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\kwxme.pif');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
RootKit погиб, но в карантин не попал. Не помню как в win2000 выключить востановление системы. Выложил новые логи. Диск F - флешка на которой я AVZ принес, на нее можно не заморачиваться я ее потом почищу.
Последний раз редактировалось als-a; 17.02.2009 в 14:15.
-
Сообщение от
als-a
Не помню как в win2000 выключить востановление системы.
Никак - его там нет, сорри, не заметил А флешечку вставьте -тем авторан нехороший.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\kwurp.exe');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\winrxjmkq.exe');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\windhutl.exe');
QuarantineFile('F:\wghwvy.pif','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\WINNT\system32\drivers\ofmlhk.sys','');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\winrxjmkq.exe','');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\windhutl.exe','');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\kwurp.exe','');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\kwurp.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\windhutl.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\winrxjmkq.exe');
DeleteFile('C:\WINNT\system32\drivers\ofmlhk.sys');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\wghwvy.pif');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
Последний раз редактировалось Rene-gad; 30.07.2008 в 21:28.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 58
Выполнил, выложил новые логи
Последний раз редактировалось als-a; 17.02.2009 в 14:15.
-
Junior Member
- Вес репутации
- 58
-
А флешечку вставьте, плиз.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{364B6276-C6C1-40B6-A6D7-6C48871FD707}');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('F:\xrpm.exe','');
QuarantineFile('C:\Program Files\Accoona\atoolbar.dll','');
DeleteFile('C:\Program Files\Accoona\atoolbar.dll');
DeleteFile('F:\xrpm.exe');
DeleteFile('F:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.[/QUOTE]
-
-
Junior Member
- Вес репутации
- 58
Вобщем воды утекло много. Умер сумантек, руками в реестре. Флешка давно почищена на другом компе и там уже ничего нет. Вот что интересно ofmlhk.sys пропадает из ядра,после удаления, но появляется снова через пару перезагрузок, чего-то его опять грузит и запускает. Вообщем посмотрите новые логи - выложил.
Последний раз редактировалось als-a; 17.02.2009 в 14:15.
-
Junior Member
- Вес репутации
- 58
гадось с флешки (вчерашняя) и из каталога *9335* закачана в карантин
файл 080731_101421_virus_4891d6cd86be0.zip
-
Дело тут такое: Интернет Эксплорер у Вас такой дырявый , что через него только вермишель хорошо отбрасывать (C).
Вот еще скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('asc3360pr');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\rkfnt.exe');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\ayfxl.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\WINNT\system32\drivers\ofmlhk.sys');
BC_DeleteFile('c:\docume~1\9335~1\locals~1\temp\ayfxl.exe');
BC_DeleteFile('c:\docume~1\9335~1\locals~1\temp\rkfnt.exe');
BC_DeleteSvc('asc3360pr');
BC_Activate;
RebootWindows(true);
end.
Если не поможет - буду выносить тему на консилиум.
-
-
Junior Member
- Вес репутации
- 58
Машинка старая - общественная, хозяев у нее было много, никто не удосужился нормально организовать защиту. Я тут в гостях - пытаюсь спасти положение. Тут на ней еще и базаочка стоит которую никак нельзя потерять - уже давно format c: сделал бы, так что не взыщите по по воду IE..
-
Junior Member
- Вес репутации
- 58
Новые логи.... Кстати а может снести все расширения IE ? Есть IE7 можно попробывать поставить, хотя этот номер врядли пройдет.
Последний раз редактировалось als-a; 17.02.2009 в 14:15.
-
В логах ничего плохого не видно
Сообщение от
als-a
Кстати а может снести все расширения IE ? Есть IE7 можно попробывать поставить, хотя этот номер врядли пройдет.
7-й на Вин2К не станет - это точно, а 6-й СП1 - запросто.
Ну и патчи , какие доступны на автоматическом сервере обновлений докачайте.
-
-
Junior Member
- Вес репутации
- 58
Щас посмотрю в своем буке, но по моему 6 нет. Надо качать...
Добавлено через 3 минуты
нашел 6 помоему без SP. Пробывать ставить ?
Последний раз редактировалось als-a; 31.07.2008 в 20:14.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 58
Процесс закачки и установки ...
-
Сообщение от
als-a
Процесс закачки и установки ...
подробный доклад в конце операции в студию
-
-
Junior Member
- Вес репутации
- 58
IE6+sp1 ver 6.0.2800.1106 Ну и логи конечно
Последний раз редактировалось als-a; 17.02.2009 в 14:15.
-
Скажите честно - Вы временные папки вот этой учетки 9335~1 хоть раз чистили? Я 3 раза писал.
Там у Вас гадюшник судя по всему
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\winsrgwes.exe');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\winmsidu.exe');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\winsrgwes.exe','');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\winmsidu.exe','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('c:\docume~1\9335~1\locals~1\temp\winmsidu.exe');
BC_DeleteFile('c:\docume~1\9335~1\locals~1\temp\winsrgwes.exe');
BC_Activate;
RebootWindows(true);
end.
Далее - как всегда.
-
-
Junior Member
- Вес репутации
- 58
Temp чистил и раньше НО !!! после установки IE6 в папке C:\Documents and Settings\Администратор\Local Settings\Temp обнаружилась парочка файлов доступ к которым заблокирован, попробывать их грохнуть после выполнения скрипта или чего -нибудь еще сделать сначала ? Файлики такие windtwov.exe и winxpiyd.exe, в скрипте не упоминаются а после него пойдет перезагрузка и имя их с большой вероятностью поменятся... Выполнять последний скрипт ?
Добавлено через 8 минут
А кстати учетки !!!! 9335 не вижу !!!! Проходил по всем зверям и чистил все папки, не обратил внимание на то что учетки 9335 не вижу !!!!
Последний раз редактировалось als-a; 31.07.2008 в 21:22.
Причина: Добавлено