День добрый. Такая проблема: постоянно лезет при включении IE один и тот же адрес: http://85.255.119.93./dev......... У меня стоит AVAST! Связь блокирует но что то тут не так....
День добрый. Такая проблема: постоянно лезет при включении IE один и тот же адрес: http://85.255.119.93./dev......... У меня стоит AVAST! Связь блокирует но что то тут не так....
Последний раз редактировалось alsoclean; 30.10.2007 в 14:46.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe',''); QuarantineFile('C:\WINDOWS\system32\admparseh.exe',''); QuarantineFile('C:\Install\rules.doc',''); QuarantineFile('C:\WINDOWS\system32\X8shA381.exe',''); QuarantineFile('C:\WINDOWS\system32\AClient.dll',''); QuarantineFile('C:\Windows\xpupdate.exe',''); QuarantineFile('C:\WINDOWS\system32\spools.exe',''); QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys',''); BC_ImportQuarantineList; BC_DeleteSvc('FCI'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
I am not young enough to know everything...
Пока что все по старому......
Последний раз редактировалось alsoclean; 30.10.2007 в 14:46.
Логи делать не нужно было, т.к. пока ничего не менялось, скрипт только собирает анализы.
Карантина вашего не вижу.
I am not young enough to know everything...
Прошу прощения- не сообразил. Отослал карантин
admparseh.exe - Packed.Win32.PolyCrypt.d
AClient.dll - Packed.Win32.Morphine.a (модификация)
1. Выполните скрипт в AVZ:
2. Пофиксите в HijackThis:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\admparseh.exe'); DeleteFile('C:\WINDOWS\system32\AClient.dll'); BC_ImportDeletedList; BC_DeleteSvc('UPSRasMan'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
3. Удалите все задания в Планировщике.Код:O2 - BHO: HttpGuard - {98B822AD-6BE7-49BC-B773-97240B774080} - C:\WINDOWS\system32\AClient.dll O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\system32\spools.exe O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe O20 - Winlogon Notify: atietaxx - C:\WINDOWS\ O20 - Winlogon Notify: atietaxx- - atietaxx.dll (file missing)
Продолжение следует...
Добавлено через 4 минуты
Выполните следующий скрипт:
После перезагрузки пришлите новый карантин по правилам.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ansif.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\crypt32.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\cryptnet.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\cscdll.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\wlnotify.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\sclgntfy.dll',''); QuarantineFile('C:\WINDOWS\system32\mmsvc32.exe',''); QuarantineFile('C:\WINDOWS\system32\adptifl.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Bratez; 17.09.2007 в 15:16. Причина: Добавлено
I am not young enough to know everything...
Все проделал.
C:\WINDOWS\SYSTEM32\crypt32.dll
C:\WINDOWS\SYSTEM32\cryptnet.dll
C:\WINDOWS\SYSTEM32\cscdll.dll
C:\WINDOWS\SYSTEM32\wlnotify.dll
C:\WINDOWS\SYSTEM32\sclgntfy.dll
Этих файлов в карантине не оказалось, хотя указано, что они добавлены.
Поищите их вручную через AVZ: Сервис - Поиск файлов на диске
и пришлите согласно приложению 2 правил.
I am not young enough to know everything...
Ушел
Ладно, оставим их, очевидно это настоящие файлы windows, непонятно только, почему они отображены в логе HijackThis...
Выполните такой скрипт:
Пофиксите в HijackThis:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\ansif.exe'); DeleteFile('C:\WINDOWS\system32\adptifl.dll'); BC_ImportDeletedList; BC_DeleteSvc('W32TimeTlntSvr'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
и сделайте новые логи.Код:O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\system32\mmsvc32.exe
I am not young enough to know everything...
Последний
Последний раз редактировалось alsoclean; 30.10.2007 в 14:46.
Больше ничего подозрительного не видно.
Как чувствует себя пациент?
И еще посмотрите это:
Что нужно - скажите, остальное поправим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry) >> Службы: разрешена потенциально опасная служба TermService (Terminal Services) >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя
Добавлено через 5 минут
Да, чуть не забыл: задания в Планировщике вы так и не удалили.
Это можно сделать через Панель управления - Назначенные задания, либо через AVZ: Сервис - Менеджер планировщика заданий.
Последний раз редактировалось Bratez; 17.09.2007 в 17:00. Причина: Добавлено
I am not young enough to know everything...
Благодарю - пациент чувствует себя неплохо.
Насчет служб.....пожалуй (Task Scheduler) и CDROM
Остальное не имеет для меня значения
Планировщик стер - спасибо за напоминание
Вот скрипт для поправки:
P.S. Если компьютер в локальной сети с использованием общего доступа к файлам, то анонимного пользователя запрещать не надо. В этом случае уберите первую строчку скрипта после begin.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
I am not young enough to know everything...
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Уважаемый(ая) alsoclean, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.