-
Junior Member
- Вес репутации
- 62
Rootkit, блокировки, и прочее.
Небольшой лавиной посыпались сообщения от DrWeb, проявилось сразу несколько вирусов.
В Safe Mode вычистил CureIt'ом около 18 файлов.
После обычной загрузки, насколько мог, выполнил AVZ и HijackThis.
Сейчас при запуске скрипта AVZ "Лечение/сбор инф" комп перезагружается.
Окно файервола ХР не загружается, "вследствие неопределенной ошибки"
Прошу посмотреть логи, которые есть, и дать рекомендации.
Можно ли (и нужно ли) запускать AVZ в Safe Mode, если от нее комп перезагружается в обычном режиме?
Последний раз редактировалось tenzor; 16.09.2007 в 17:36.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
если AVZ не выполняет скрипт в обычном режиме то желательно конечно попробывать сделать это в безопасном.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RemoteRegistry', 4);
QuarantineFile('C:\PROGRA~1\SecCopy\SecCopy.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportALL;
ExecuteSysClean;
ClearHostsFile;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12061
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\p artnership.dll (file missing)
по поводу фаервола http://support.microsoft.com/kb/920074/ru
повторите логи
-
-
Junior Member
- Вес репутации
- 62
Cкрипт выполнил, карантин загрузил, строчку пофиксил.
При запуске скрипта AVZ "Лечение/сбор инф" комп все так же перезагружается.
Посему отправляю только один лог AVZ и один HijackThis.
Последний раз редактировалось tenzor; 16.09.2007 в 17:36.
-
Выполните такой скрипт из безопасного режима:
Код:
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Fsc47', 'Start');
RebootWindows(true);
end.
После перезагрузки выполните лог, как написано здесь:
http://virusinfo.info/showthread.php?t=10387
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Скрипт выполнил, логи сделал.
Последний раз редактировалось tenzor; 16.09.2007 в 17:36.
-
У вас сидит трудноубиваемый руткит - Fsc47.sys, и к сожалению скрипт, который должен был отключить его запуск, не сработал. Я вижу только один способ его выудить - это загрузиться с LiveCD или в консоль восстановления, разыскать этот файл и переименовать его (пока не удалять, нужен образец).
Если есть возможность - сделайте так. Или подождем, может быть кто-то из наших экспертов даст другой совет.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
А если снять винчестер и подключить его на чистом компьютере в качестве второго?
Так можно?
Что тогда мне искать и чем сканировать?
-
Так можно. Просто найдите файл Fsc47.sys, запакуйте в архив с паролем virus и пришлите по правилам. Удалять его пока не нужно, просто переименуйте, верните свой ЖД на место и запустите систему. Если проблем с запуском не будет, сделайте новые логи + дополнительный, как написано тут.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
1. Винчестер переставил, файл нашелся в папке windows\system32\drivers
2. Файл переименовал d Fsc47$$.$y$, заархивировал и загрузил.
3. Винчестер вернул, система загрузилась нормально.
4. Сделал стандартные логи (AVZ отработала нормально, без внезапной перезагрузки в самом начале!) и один дополнительный.
5. Все логи загружаю.
6. Жду ваших рекомендаций.
Последний раз редактировалось tenzor; 16.09.2007 в 17:35.
-
Лишние дырки хотите закрыть?
Код:
Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Если да, то вот лекарство:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 62
За лекарство спасибо, сделаю.
А логи кто-нибудь посмотрит?
Может еще не все вычистили?
-
Присланный файл детектируется Касперским как Rootkit.Win32.Agent.hg. Еще пару файликов с тем же детектом нашел AVZ. Активного заражения больше не видно.
Кстати, восстановление системы вы отключали? Если нет - сделайте это сейчас.
Выполните такой скрипт:
Код:
begin
DeleteFile('C:\WINDOWS\system32\drivers\Fsc47$$.$y$');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\System Volume Information\_restore{357507FE-F5AF-49F2-B03D-0693DE6A2FFD}\RP26\A0006637.sys');
BC_DeleteSvc('Fsc47');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки для полной уверенности повторите лог п.8 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Восстановление отключил, скрипт выполнил.
Лог по п.8 прилагаю.
Последний раз редактировалось tenzor; 16.09.2007 в 17:35.
-
Больше ничего подозрительного не видно,если проблем больше нет,то лечение можно считать законченным.
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
-
-
Junior Member
- Вес репутации
- 62
DrWeb нашел еще одного - MailSpectre.exe, Win32.HLLM.Spectre.
Я его переместил, могу прислать.
Надо ли его лечить и вернуть на место?
-
Надо ли его лечить и вернуть на место?
На место? Ни в коем случае! И лечить там нечего, удаляйте смело!
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Всем хелперам спасибо!
Вроде как все вычистили, фаервол восстановил, всем спасибо за дельные советы!