-
Junior Member
- Вес репутации
- 58
И снова проблемы с вирусами!!
Здравствуйте уважаемые! Опять требуется ваша помошь! Один из рабочих компов понахватал вирусов, и, хотя частично я от них избавился НОДом 32 и Cureit, но ... траффик продолжает капать, braviax.exe в процессах, System alert! в трее висит, вполне возможно еще чего-нибудь есть... Антивирусы находили:
-delf.new( c флешки пришел);
-troyandownloader. fakealert.IQ;
-injector.CN;
-exploit.cve 2007-0071;
-wigon.ck
и еще какую-то мелочь..
Логи прилагаются! (Так как грядут выходные, все работы по излечению компа будут проводиться в понедельник с утра)
Последний раз редактировалось IndeeZ; 12.09.2009 в 15:27.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqi51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windo08.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wincq04.sys','');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteService('Wmiwscsvc');
DeleteService('WmiApSrvWZCSVCWebClient');
DeleteService('WmiApSrvWZCSVC');
DeleteService('WmdmPmSNRpcLocator');
DeleteService('winmgmtdmserver');
DeleteService('TrkWkssrserviceAlerter');
DeleteService('ThemesAppMgmt');
DeleteService('stisvcDcomLaunchmnmsrvc');
DeleteService('stisvcDcomLaunchCryptSvcNtLmSsp');
DeleteService('stisvcDcomLaunch');
DeleteService('SSDPSRVwuauserv');
DeleteService('srserviceAlerter');
DeleteService('ShellHWDetectionsrserviceAlerter');
DeleteService('SamSswscsvc');
DeleteService('RemoteRegistrySamSs');
DeleteService('ProtectedStorageThemes');
DeleteService('PlugPlayERSvc');
DeleteService('NtmsSvcstisvcDcomLaunch');
DeleteService('MSDTCwuauservWmiwscsvc');
DeleteService('MSDTCwuauserv');
DeleteService('MessengerstisvcDcomLaunchmnmsrvc');
DeleteService('ImapiServiceThemes');
DeleteService('ImapiServiceSharedAccess');
DeleteService('HTTPFilterNetDDEdsdm');
DeleteService('helpsvcAlerter');
DeleteService('ERSvcAppMgmt');
DeleteService('dmadminMSIServer');
DeleteService('DcomLaunchNetman');
DeleteService('CryptSvcNtLmSsp');
DeleteService('COMSysAppsrservice');
DeleteService('ALGWmiApSrv');
DeleteService('ALGThemes');
DeleteService('Winvb05');
DeleteService('Winqi51');
DeleteService('Windo08');
DeleteService('Wincq04');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincq04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windo08.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqi51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb05.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Wmiwscsvc');
BC_DeleteSvc('WmiApSrvWZCSVCWebClient');
BC_DeleteSvc('WmiApSrvWZCSVC');
BC_DeleteSvc('WmdmPmSNRpcLocator');
BC_DeleteSvc('winmgmtdmserver');
BC_DeleteSvc('TrkWkssrserviceAlerter');
BC_DeleteSvc('ThemesAppMgmt');
BC_DeleteSvc('stisvcDcomLaunchmnmsrvc');
BC_DeleteSvc('stisvcDcomLaunchCryptSvcNtLmSsp');
BC_DeleteSvc('stisvcDcomLaunch');
BC_DeleteSvc('SSDPSRVwuauserv');
BC_DeleteSvc('srserviceAlerter');
BC_DeleteSvc('ShellHWDetectionsrserviceAlerter');
BC_DeleteSvc('SamSswscsvc');
BC_DeleteSvc('RemoteRegistrySamSs');
BC_DeleteSvc('ProtectedStorageThemes');
BC_DeleteSvc('PlugPlayERSvc');
BC_DeleteSvc('NtmsSvcstisvcDcomLaunch');
BC_DeleteSvc('MSDTCwuauservWmiwscsvc');
BC_DeleteSvc('MSDTCwuauserv');
BC_DeleteSvc('MessengerstisvcDcomLaunchmnmsrvc');
BC_DeleteSvc('ImapiServiceThemes');
BC_DeleteSvc('ImapiServiceSharedAccess');
BC_DeleteSvc('HTTPFilterNetDDEdsdm');
BC_DeleteSvc('helpsvcAlerter');
BC_DeleteSvc('ERSvcAppMgmt');
BC_DeleteSvc('dmadminMSIServer');
BC_DeleteSvc('DcomLaunchNetman');
BC_DeleteSvc('CryptSvcNtLmSsp');
BC_DeleteSvc('COMSysAppsrservice');
BC_DeleteSvc('ALGWmiApSrv');
BC_DeleteSvc('ALGThemes');
BC_DeleteSvc('Winvb05');
BC_DeleteSvc('Winqi51');
BC_DeleteSvc('Windo08');
BC_DeleteSvc('Wincq04');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
Все сделал, как сказали. Повторные логи высылаю. А вот в карантине ничего не обнаружено..
Последний раз редактировалось IndeeZ; 12.09.2009 в 15:27.
-
В логах ничего плохого.
Какие еще проблемы?
-
-
Junior Member
- Вес репутации
- 58
Вроде бы все нормально, никаких проблем не наблюдается, никакой подозрительной активности! Большое человеческое спасибо!
-
Сервис Пак 3 нужно поставить. Возможно потребуется активация системы.
-