Показано с 1 по 17 из 17.

Rootkit, блокировки, и прочее. (заявка № 12061)

  1. #1
    Junior Member Репутация
    Регистрация
    23.06.2007
    Сообщений
    131
    Вес репутации
    62

    Thumbs up Rootkit, блокировки, и прочее.

    Небольшой лавиной посыпались сообщения от DrWeb, проявилось сразу несколько вирусов.
    В Safe Mode вычистил CureIt'ом около 18 файлов.
    После обычной загрузки, насколько мог, выполнил AVZ и HijackThis.
    Сейчас при запуске скрипта AVZ "Лечение/сбор инф" комп перезагружается.
    Окно файервола ХР не загружается, "вследствие неопределенной ошибки"
    Прошу посмотреть логи, которые есть, и дать рекомендации.
    Можно ли (и нужно ли) запускать AVZ в Safe Mode, если от нее комп перезагружается в обычном режиме?
    Последний раз редактировалось tenzor; 16.09.2007 в 17:36.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    если AVZ не выполняет скрипт в обычном режиме то желательно конечно попробывать сделать это в безопасном.

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    SetServiceStart('RemoteRegistry', 4);
     QuarantineFile('C:\PROGRA~1\SecCopy\SecCopy.exe','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
    BC_ImportALL;
    ExecuteSysClean;
    ClearHostsFile;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12061

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\p artnership.dll (file missing)
    по поводу фаервола http://support.microsoft.com/kb/920074/ru

    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    23.06.2007
    Сообщений
    131
    Вес репутации
    62
    Cкрипт выполнил, карантин загрузил, строчку пофиксил.
    При запуске скрипта AVZ "Лечение/сбор инф" комп все так же перезагружается.
    Посему отправляю только один лог AVZ и один HijackThis.
    Последний раз редактировалось tenzor; 16.09.2007 в 17:36.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните такой скрипт из безопасного режима:
    Код:
    begin
     SearchRootkit(false, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Fsc47', 'Start');
     RebootWindows(true); 
    end.
    После перезагрузки выполните лог, как написано здесь:
    http://virusinfo.info/showthread.php?t=10387
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    23.06.2007
    Сообщений
    131
    Вес репутации
    62
    Скрипт выполнил, логи сделал.
    Последний раз редактировалось tenzor; 16.09.2007 в 17:36.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    У вас сидит трудноубиваемый руткит - Fsc47.sys, и к сожалению скрипт, который должен был отключить его запуск, не сработал. Я вижу только один способ его выудить - это загрузиться с LiveCD или в консоль восстановления, разыскать этот файл и переименовать его (пока не удалять, нужен образец).
    Если есть возможность - сделайте так. Или подождем, может быть кто-то из наших экспертов даст другой совет.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    23.06.2007
    Сообщений
    131
    Вес репутации
    62
    А если снять винчестер и подключить его на чистом компьютере в качестве второго?
    Так можно?
    Что тогда мне искать и чем сканировать?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Так можно. Просто найдите файл Fsc47.sys, запакуйте в архив с паролем virus и пришлите по правилам. Удалять его пока не нужно, просто переименуйте, верните свой ЖД на место и запустите систему. Если проблем с запуском не будет, сделайте новые логи + дополнительный, как написано тут.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    23.06.2007
    Сообщений
    131
    Вес репутации
    62
    1. Винчестер переставил, файл нашелся в папке windows\system32\drivers
    2. Файл переименовал d Fsc47$$.$y$, заархивировал и загрузил.
    3. Винчестер вернул, система загрузилась нормально.
    4. Сделал стандартные логи (AVZ отработала нормально, без внезапной перезагрузки в самом начале!) и один дополнительный.
    5. Все логи загружаю.
    6. Жду ваших рекомендаций.
    Последний раз редактировалось tenzor; 16.09.2007 в 17:35.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Лишние дырки хотите закрыть?
    Код:
    Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Если да, то вот лекарство:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    RebootWindows(true);
    end.

  12. #11
    Junior Member Репутация
    Регистрация
    23.06.2007
    Сообщений
    131
    Вес репутации
    62
    За лекарство спасибо, сделаю.

    А логи кто-нибудь посмотрит?
    Может еще не все вычистили?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Присланный файл детектируется Касперским как Rootkit.Win32.Agent.hg. Еще пару файликов с тем же детектом нашел AVZ. Активного заражения больше не видно.

    Кстати, восстановление системы вы отключали? Если нет - сделайте это сейчас.

    Выполните такой скрипт:
    Код:
    begin
    DeleteFile('C:\WINDOWS\system32\drivers\Fsc47$$.$y$');
    DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
    DeleteFile('C:\System Volume Information\_restore{357507FE-F5AF-49F2-B03D-0693DE6A2FFD}\RP26\A0006637.sys');
    BC_DeleteSvc('Fsc47');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки для полной уверенности повторите лог п.8 правил.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    23.06.2007
    Сообщений
    131
    Вес репутации
    62
    Восстановление отключил, скрипт выполнил.
    Лог по п.8 прилагаю.
    Последний раз редактировалось tenzor; 16.09.2007 в 17:35.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Больше ничего подозрительного не видно,если проблем больше нет,то лечение можно считать законченным.
    Рекомендую работать под пользователем с ограниченными правами.
    По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
    Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
    Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  16. #15
    Junior Member Репутация
    Регистрация
    23.06.2007
    Сообщений
    131
    Вес репутации
    62
    DrWeb нашел еще одного - MailSpectre.exe, Win32.HLLM.Spectre.
    Я его переместил, могу прислать.
    Надо ли его лечить и вернуть на место?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Надо ли его лечить и вернуть на место?
    На место? Ни в коем случае! И лечить там нечего, удаляйте смело!
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    23.06.2007
    Сообщений
    131
    Вес репутации
    62

    Всем хелперам спасибо!

    Вроде как все вычистили, фаервол восстановил, всем спасибо за дельные советы!

  • Уважаемый(ая) tenzor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. последствия SMS блокировки
      От beh01der в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 18.12.2010, 16:47
    2. Угроза блокировки за SMS
      От Нилхор в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 10.09.2010, 23:58
    3. Последствия блокировки
      От Gorski в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 13.07.2010, 13:43
    4. Последствия блокировки windows
      От Gorski в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.07.2010, 16:24
    5. SMS-блокировки
      От RockMAX в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.12.2009, 07:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00371 seconds with 19 queries