-
Junior Member
- Вес репутации
- 58
Последствия Backdoor'а, помогите дочисть систему
Добрый день!
1. На компьютере с помощью AVP Tool был выловлен и удален Backdoor. Конкретного названия, пародон, назвть не смогу, кликнул "удалить" очень быстро.
2. После этого в оснастке "Службы" были замечены продублированные службы, например: "Локатор удаленного вызова процедур (RPC)" и "Локатор удаленного вызова процедур (RPC) RpcLocatorEventSystem". Первая запускала, как и должно быть C:\WINDOWS\System32\locator.exe, вторая - некий файл с названием svr, без расширения. То же самое делали и все остальные "левые" службы.
3. Все такие "левые" службы я отключил. Из списка процессов исчез некий Cimage.exe.
Но остались подазрения на то, что до конца система не вылечена.
Файлы прилагаются, заранее большое спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\abjue');
DeleteService('Winpt61');
BC_DeleteSvc('Winpt61');
DeleteService('Themeslanmanserver');
DeleteService('SymantecCOMSysApp');
DeleteService('SNDSrvcsfrem01');
DeleteService('ShellHWDetectionwscsvc');
DeleteService('RpcLocatorEventSystem');
DeleteService('ProtectedStorageUPS');
DeleteService('PmlUMWdf');
DeleteService('NtmsSvcW32Time');
DeleteService('NetDDEWmdmPmSN');
DeleteService('NetDDENetDDE');
DeleteService('NetDDEdsdmPolicyAgent');
DeleteService('MSDTCMessenger');
DeleteService('LiveUpdateMessenger');
DeleteService('helpsvcPlugPlay');
DeleteService('dmserverSpooler');
ExecuteRepair(1);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 58
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
BC_DeleteSvc('Themeslanmanserver');
BC_DeleteSvc('SymantecCOMSysApp');
BC_DeleteSvc('SNDSrvcsfrem01');
BC_DeleteSvc('ShellHWDetectionwscsvc');
BC_DeleteSvc('RpcLocatorEventSystem');
BC_DeleteSvc('ProtectedStorageUPS');
BC_DeleteSvc('PmlUMWdf');
BC_DeleteSvc('NtmsSvcW32Time');
BC_DeleteSvc('NetDDEWmdmPmSN');
BC_DeleteSvc('NetDDENetDDE');
BC_DeleteSvc('NetDDEdsdmPolicyAgent');
BC_DeleteSvc('MSDTCMessenger');
BC_DeleteSvc('LiveUpdateMessenger');
BC_DeleteSvc('helpsvcPlugPlay');
BC_DeleteSvc('dmserverSpooler');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Какие-либо проблемы есть?
-
-
Junior Member
- Вес репутации
- 58
Особых проблем не наблюдается. Правда, еще после первого сканирования Касперским перестал запускаться iTunes. Сейчас попробую его переустановить. Лог прилагается.
Спасибо!
-
В логе нет ничего подозрительного.
Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 58
Выполнено.
Еще раз спасибо за помощь!