Подозрение на трояны

[Roman67]

Недавно закрыли smpt-порт, так как с моего компьютера рассылался спам. Почистил систему avz, ad-aware, но есть подозрение что не до конца.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\Regsys.exe','');
 QuarantineFile('C:\WINDOWS\System32\winlogin32.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пришлите карантин согласно приложению 3 правил.

[Roman67]

В карантине нет этих файлов, а есть один с расширением sys

[Bratez]

Просто пришлите весь карантин после выполнения скрипта.

[Roman67]

Я выслал, дошло?

[Bratez]

Ничего вредоносного не найдено.
Для зачистки мусора пофиксите в HijackThis:

Код:

O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl29bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} - 
O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl56bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} - 
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)

и выполните скрипт в AVZ:

Код:

begin
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','cpanel');
RebootWindows(true);
end.

А еще неплохо бы закрыть потенциальные уязвимости:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX

Что-то из этого используете?

[Roman67]

Ничего вредоносного не найдено.
Для зачистки мусора пофиксите в HijackThis:

Код:

O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl29bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} - 
O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl56bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} - 
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)

и выполните скрипт в AVZ:

Код:

begin
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','cpanel');
RebootWindows(true);
end.

А еще неплохо бы закрыть потенциальные уязвимости:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX

Что-то из этого используете?

Как узнать или почитать что нужно из служб, а что нет. Заранее спасибо.

[Bratez]

Ваш вопрос наводит на мысль, что если отключить все перечисленное, кроме пожалуй автозапуска CD, вы этого николько не заметите Зато повысится безопасность и даже чуть-чуть производительность вашего компьютера. Для этого выполните следующий скрипт:

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

А почитать о службах можно в соответствующих разделах форума - посмотрите ЧаВо и разделы про Windows, была про это тема.

[Roman67]

После всех процедур, проделанных вчера
Сегодня утром Kaspersky выдал
c:\windows\system32\spoolsvv.exe
инфицирован вирусом
trojan-proxy.win32.agent.om

[PavelA]

Без СП2 в сети долго не живут.
Делайте новые логи по Правилам. Будем смотреть, что теперь поймали.

[Roman67]

А как поставить sp2?

[V_Bond]

Без СП2 в сети долго не живут.
Делайте новые логи по Правилам. Будем смотреть, что теперь поймали.

а затем ставить СП2 ... лучше на чистую систему...

[Alex_Goodwin]

Можно и на эту. Если винда лицензионная, то вам на виндус упдэйт.

[Roman67]

Cureit вчера перед созданием логов в безопасном режиме нашел srvany.exe в system32. Хотя интуитивно - все чисто, может быть остались какие-то куски заразы? Также высылаю логи.

[V_Bond]

в логах чисто....

[PavelA]

Винда, похоже, нелицензионная. После проверки Cure-It, если он удалил srvany.exe, то могла сломаться регистрация системы. Будьте готовы к переустановке.

[Roman67]

srvany нет на диске, но система работает и вроде пока (тьфу-тьфу-тьфу)
все нормально

Добавлено через 1 минуту

Насчет лицензионности винды - не знаю. Покупал комп с уже установленной виндой.
Меня интересует что за перехватчики root в логах появляются всякие там sptd.sys и прочие

[PavelA]

Насчет лицензионности винды - не знаю. Покупал комп с уже установленной виндой.
Меня интересует что за перехватчики root в логах появляются всякие там sptd.sys и прочие

sptd.sys - это нормально. Alchogol установлен, либо daemon tools

[Roman67]

А чего бояться от последствий удаления srvany?
И еще велика ли опасность заразиться если я сижу только на проверенных сайтах?

[V_Bond]

заразиться можно даже заходя только на на проверенных сайты .... да еще с вашей дырявой СП1 .... необходимо поставить сп2 и все последующие обновления ....