Перейти к содержанию
СофтФорум - всё о компьютерах и не только

просьба посмотреть логи


Рекомендуемые сообщения

  • Ответов 83
  • Создана
  • Последний ответ

Топ авторов темы

Топ авторов темы

Прочитала статью про svсhost.exe. Там упоминается файл-маскировка:

svshost.exe (вместо "c" используется "s")

Так вот, сканирование DrWeb сегодня днем дало этот файл (отправило, кажется, в карантин)

Ссылка на комментарий
Поделиться на другие сайты

e:\windows\system32\drivers\secdrv.sys - зараза

e:\windows\system32\dprot.sys - гугль не знает, но похоже тоже воздух не озонирует

e:\windows\system32\divxrs.dll - зело подозрительный

Значит все под снос

http://uploading.com/ru/files/VVKG3ZDO/1.zip.html

Это переименованный IceSword..после удаления secdrv.sys avz должна заработать.

Ссылка на комментарий
Поделиться на другие сайты

Да, сработало!

Большое спасибо!

Папка temp пуста, так и должно было быть.

Файлы были с одинаковыми датами (первый не успела посмотреть) - вчера в 16:34, когда и была атака. Почему я не додумалась поискать еще по времени?

Что теперь делать - генерировать virusinfo в АВЗ?

Ссылка на комментарий
Поделиться на другие сайты

AntiSpy - удалите это не очень хорошая программа.

Файл - Выполнить скрипт -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('Secdrv', 4);StopService('Secdrv');QuarantineFile('divxrs.dll','');QuarantineFile('E:\WINDOWS\system32\dprot.sys','');QuarantineFile('E:\WINDOWS\system32\DRIVERS\secdrv.sys','');QuarantineFile('E:\Program Files\ASWPro\SSS.sys','');DeleteFile('E:\WINDOWS\system32\DRIVERS\secdrv.sys');DeleteFile('divxrs.dll');DeleteService('Secdrv');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Потом

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный карантин отправить на 6501<at>rambler.ru

И повторите логи AVZ и HJT

завтра посмотю, что в карантин упало :)

Ссылка на комментарий
Поделиться на другие сайты

Пардон, где это все вводить?

Выберите в меню "Файл" пункт "Выполнить скрипт" и скопируйте его в окно ввода методом копипейста.

Ссылка на комментарий
Поделиться на другие сайты

Выберите в меню "Файл" пункт "Выполнить скрипт" и скопируйте его в окно ввода методом копипейста.

Да, но меню "Файл" должно быть в какой-то определенной программе!

Извините, я, наверное, должна была это знать...

Ссылка на комментарий
Поделиться на другие сайты

Да, но меню "Файл" должно быть в какой-то определенной программе!

Речь идет про AVZ.

Ссылка на комментарий
Поделиться на другие сайты

Ошибка скрипта: '.' expected в позиции 19.1

Может быть, при копировании текста потерялся какой-то символ. Либо он был утерян при составлении скрипта.

Изменено пользователем Matias
Ссылка на комментарий
Поделиться на другие сайты

каким антивирусом теперь пользоваться?

В разделе "Сетевая безопасность" есть прикрепленные темы, посвященные антивирусам. Почитайте их и сделайте выбор.

Ссылка на комментарий
Поделиться на другие сайты

Оказалось не все так просто.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('dprot', 4);StopService('dprot');SetServiceStart('AntiSpyWareProFilter', 4);StopService('AntiSpyWareProFilter');QuarantineFile('E:\WINDOWS\system32\magent.exe','');QuarantineFile('E:\Program Files\ASWPro\ASWPro.exe','');QuarantineFile('E:\WINDOWS\system32\dprot.sys','');QuarantineFile('E:\Program Files\ASWPro\SSS.sys','');QuarantineFile('AUHook.dll','');QuarantineFile('%SystemRoot%\System32\syssetupo.dll','');DeleteFile('AUHook.dll');DeleteFile('E:\Program Files\ASWPro\SSS.sys');DeleteFile('E:\Program Files\ASWPro\ASWPro.exe');DeleteFile('E:\WINDOWS\system32\magent.exe');DeleteFile('E:\WINDOWS\system32\dprot.sys');DeleteService('AntiSpyWareProFilter');DeleteService('dprot');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Потом

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Пофиксить в HijackThis следующие строчки

O20 - Winlogon Notify: reset6 - AUHook.dll (file missing)O20 - Winlogon Notify: divxrs - E:\WINDOWS\ 

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты

dytyna: в логах чисто. Проблемы какие-то наблюдаются еще?

Можно пофиксить (от nlite, скорее всего нужны были на этапе установки, у вас какая-то сборка windows)

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)

>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

что из этого не нужно?

Ссылка на комментарий
Поделиться на другие сайты

что из этого не нужно?

Трудно ответить на этот вопрос.

Потому что не совсем понимаю, что эти службы делают.

В разделе безопасность - скорее нужно. Автозапуск с диска - понятно. А про анонимного пользователя - не знаю. Пользователь я тут вроде как один.

Мастер поиска и устранения проблем сейчас запущу. А эти штучки от windows - незнаю, мешают ли? То есть, ести не мешают, то не будем их тормосить?

Вроде бы все теперь работает. Спасибо всем!

На следующей неделе буду у родителей, собираюсь с их компом то же проделать. Есть некоторые явления, которые меня смущают.

Скажите, на каком-то этапе мы выключали восстановление системы - нужно ли его теперь включать, или оно само включилось?

Ссылка на комментарий
Поделиться на другие сайты

На своём компьютере уже можете включать восстановление системы. Про компьютер родителей. Сделайте логи. Посмотрим есть ли там зверьё и если есть порекомендуем отключить до окончания дечения.

Ссылка на комментарий
Поделиться на другие сайты

dytyna: по службам можно почитать тут

рекомендую отключить NetMeeting Remote Desktop Sharing, Remote Desktop Help Session Manager и анонимного пользователя, если есть аккаунты из группы Администраторы без пароля, то также следует отключить административный доступ к локальным дискам (и поставить пароль для всех администраторов)

можно отключить по минимуму, скрипт

beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);SetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);end.

или всё, скрипт

beginRegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);SetServiceStart('SSDPSRV', 4);SetServiceStart('TermService', 4);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);SetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);end.

Все что в E:\Program Files\Google\ рекомендую деинсталлировать и установите антивирус и firewall, например бесплатные Avira AntiVir и Comodo firewall

Советую также прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге.

Ссылка на комментарий
Поделиться на другие сайты

Вот что творится на компьютере у мамы. Один скрипт AVZ почему-то до конца не выполняется и программа выключается. Так что получилось только два лога.

Ссылка на комментарий
Поделиться на другие сайты

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('rdriv', 4);SetServiceStart('MicroSoft Media Tools', 4);StopService('rdriv');StopService('MicroSoft Media Tools');QuarantineFile('c:\Bookshelf.TR\TRBookshelf_.dll.button.js','');QuarantineFile('C:\WINNT\System32\taskdir.exe','');QuarantineFile('C:\WINNT\system32\rdriv.sys','');QuarantineFile('C:\WINNT\MSmedia.exe','');QuarantineFile('C:\WINNT\System32\Drivers\PQNTDrv.SYS','');QuarantineFile('C:\WINNT\System','');DeleteFile('C:\WINNT\System');DeleteFile('C:\WINNT\MSmedia.exe');DeleteFile('C:\WINNT\system32\rdriv.sys');DeleteFile('C:\WINNT\System32\taskdir.exe');DeleteFile('c:\Bookshelf.TR\TRBookshelf_.dll.button.js');RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);DelBHO('{E50767CC-F1D8-41ef-A325-AD079064C0D2}');DeleteService('MicroSoft Media Tools');DeleteService('rdriv');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Карантин отправить на адрес 6501<at>rambler.ru

Пофиксить в HijackThis следующие строчки

	O9 - Extra 'Tools' menuitem: TR Bookshelf - {E50767CC-F1D8-41ef-A325-AD079064C0D2} - c:\Bookshelf.TR\TRBookshelf_.dll.button.js (file missing)O9 - Extra button: TR Bookshelf - {E50767CC-F1D8-41ef-A325-AD079064C0D2} - c:\Bookshelf.TR\TRBookshelf_.dll.button.js (file missing)		O8 - Extra context menu item: Bookshelf - c:\Bookshelf.TR\TRBookshelf_.dll.button.js O4 - HKUS\.DEFAULT\..\Run: [taskdir] C:\WINNT\System32\taskdir.exe (User 'Default user')

Устарело необходимо обновить

Platform: Windows 2000 SP3 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу



×
×
  • Создать...