Trojan-Downloader и другие

**Rogoff** · 19.09.2007, 06:29

Посмотрите что нужно сделать чтобы очистить компьютер.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Muzzle** · 19.09.2007, 08:45

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('milis.dll','');
 QuarantineFile('C:\WINDOWS\system32\exe','');
 QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
 DeleteFile('C:\WINDOWS\system32\exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать весь карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12574

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\

Что из этого вам нужно?остальное исправим.

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

**Bratez** · 19.09.2007, 11:18

И вот это можно сразу пофиксить:

Код:

O2 - BHO: Editor plugin - {3B4A553C-052B-4855-A883-CF70B01F8731} - milis.dll (file missing)

**Rogoff** · 28.09.2007, 03:49

Да, забыл упомянуть, что диспетчер задач отключен администратором, хотя никто его не отключал (однозначно проделки вируса).

Карантин закачал:

Файл сохранён как 070926_021259_virus_46fa067b2c7f7.zip
Размер файла 207478
MD5 74e22480010d6f95182bb8ad893885ff

**Bratez** · 28.09.2007, 07:01

tcpip.sys - чистый.

Выполните скрипт:

Код:

begin
ExecuteRepair(6);
ExecuteRepair(11);
end.

и сделайте новые логи.

**Rogoff** · 28.09.2007, 10:27

диспетчер заработал, логи прилагаю:

**drongo** · 28.09.2007, 10:49

Значит не нужно, если молчите. Закрываем.

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

systray.exe из автозагрузки тоже можно убрать, если не пользуетесь.

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!

**Rogoff** · 28.09.2007, 11:17

Сообщение от drongo

Значит не нужно, если молчите. Закрываем.
...

Погодите, моя вина, не отреагировал на эту часть сообщения. В общем комп в сети работает, удаленно не управляется. Т.е. Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...), отключать не надо.

**Bratez** · 28.09.2007, 15:08

Административный-то как раз лучше закрыть, а вот доступ анонимного пользователя - оставить, а то придется в разрешениях на свои расшаренные папки каждого поименно прописывать.