Вобщем не смейтесь, сервер Win2000Serv с БД SQL, на нем работали юзеры с правами админа, результат в логах
Вобщем не смейтесь, сервер Win2000Serv с БД SQL, на нем работали юзеры с правами админа, результат в логах
Вобщем так. Я беру в карантин небольшую кучку, а там уж будем разбираться.
Выполнить:
Загрузить карантин через http://virusinfo.info/upload_virus.php?tid=41464Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('windowszupdate.exe',''); QuarantineFile('taskmgnr.exe',''); QuarantineFile('spread.exe',''); QuarantineFile('ddccc.dll',''); QuarantineFile('C:\windows\adtech2006.exe',''); QuarantineFile('C:\WINNT\system32\svchost.dll',''); QuarantineFile('C:\WINNT\system32\steam.dll',''); QuarantineFile('C:\Program Files\Common Files\Windows\mc-110-12-0000247.exe',''); QuarantineFile('C:\PROGRA~1\COMMON~1\zzkm\zzkmm.exe',''); QuarantineFile('C:\WINNT\xOXt6PE\command.exe',''); QuarantineFile('c:\program files\outws nt\untshell.exe',''); ClearHostsFile; BC_ImportALL; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
ок, сделаем
Карантин загружен, ссори за задержку, сервак в другом месте стоит.
Последний раз редактировалось Rene-gad; 12.03.2009 в 19:51.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\windows\adtech2006.exe'); DeleteFile('C:\WINNT\system32\svchost.dll'); DeleteFile('C:\Program Files\Common Files\Windows\mc-110-12-0000247.exe'); DeleteFile('C:\PROGRA~1\COMMON~1\zzkm\zzkmm.exe'); DeleteFile('C:\WINNT\xOXt6PE\command.exe'); DeleteFile('c:\program files\outws nt\untshell.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.
То, что попалось:
0001.dta,
untshell_0.exe - Trojan.Win32.Crypt.t
ulicisvc.exe - Packed.Win32.NSAnti.r
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Все сделал, загружаю логи. Еще раз ссори за медленную реакцию, сервак в другом месте города и приходится ездить к нему.
Народ, а дальше т о что?
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - (no file) O4 - HKLM\..\Run: [Microsoft sdDDE Control] taskmgnr.exe O4 - HKLM\..\Run: [WinDLL (kky32.dll)] rundll32.exe C:\WINNT\system32\kky32.dll,start O4 - HKLM\..\Run: [WinDLL (steam.dll)] rundll32.exe C:\WINNT\system32\steam.dll,start O4 - HKLM\..\Run: [winsystems25] spread.exe O4 - HKLM\..\Run: [WinDLL (v4mon.dll)] rundll32.exe C:\WINNT\system32\v4mon.dll,start O4 - HKLM\..\RunServices: [winsystems25] spread.exe O4 - HKUS\.DEFAULT\..\Run: [WindowsRegisKey update] windowszupdate.exe (User 'Default user') O20 - Winlogon Notify: ddccc - ddccc.dll (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINNT\system32\v4mon.dll',''); QuarantineFile('C:\WINNT\system32\kky32.dll',''); QuarantineFile('windowszupdate.exe',''); QuarantineFile('spread.exe',''); QuarantineFile('taskmgnr.exe',''); QuarantineFile('ddccc.dll',''); DeleteFile('C:\Program Files\Outws nt\untshell.bak'); DeleteFile('C:\Program Files\Outws nt\ulicisvc.exe'); DeleteFile('windowszupdate.exe'); DeleteFile('ddccc.dll'); DeleteFile('taskmgnr.exe'); DeleteFile('spread.exe'); DeleteFile('C:\WINNT\system32\kky32.dll'); DeleteFile('C:\WINNT\system32\v4mon.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Вот логи и карантин.
IE обновите до версии IE 6 SP1a.
В логах сейчас ничего подозрительного.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\outws nt\ulicisvc.exe - Packed.Win32.NSAnti.r( DrWEB: Adware.Apropos )
- c:\program files\outws nt\untshell.exe - Trojan.Win32.Crypt.t( DrWEB: Adware.Apropos, BitDefender: Gen:Trojan.Heur.93F7081D6D )
Уважаемый(ая) GDE, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.