Борьба BackDoor.Bech.

[YuriJJ]

Добрый день!
Отловил и уничтожил BackDoor.Bech (Dr.Web), Сеть перестала работать ещё в момент заражения! Рекомендации Майкрософт выполнил все, не помогло! Winsockxpfix не помог.
Что еще зловредного осталось в системе???

[Alex_Goodwin]

1. Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\windres.exe','');
 QuarantineFile('C:\WINDOWS\system32\tmp_4h7.dll','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
 QuarantineFile('Ihvk62.sys','');
 QuarantineFile('C:\WINDOWS\LINKINFO.dll','');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\tmp_4h7.dll');
 DeleteFile('C:\WINDOWS\system32\1033d.exe ');
 DeleteFile('C:\WINDOWS\LINKINFO.dll');
 BC_DeleteSvc('xmlprovhelpsvc');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Карантин по правилам.
2. Пофиксить, что останется:

O20 - AppInit_DLLs: C:\WINDOWS\system32\tmp_4h7.dll
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: partnershipreg- - C:\Documents and Settings\All Users\Äîêóìåí&# 242;û\Settings\partnership.dll (file missing)
O23 - Service: Ñëóæáà îáåñïå÷å&# 237;èÿ ñåòè xmlprovhelpsvc (xmlprovhelpsvc) - Unknown owner - C:\WINDOWS\system32\1033d.exe (file missing)

[YuriJJ]

1. Выполнил.
отправил:
Файл сохранён как 070923_131311_virus_46f6acb778dc6.zip
Размер файла 17000
MD5 74b67b76c926efc56d6fcb9ae2ed9237
2. Сделал.

[Alex_Goodwin]

Давайте новые логи.

[YuriJJ]

Пожалуйста!

[Alex_Goodwin]

1. Выполните скрипт:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\1033d.exe ');
DeleteFile('C:\WINDOWS\LINKINFO.dll');
QuarantineFile('Ihvk62.sys','');
ExecuteSysClean;
BC_DeleteSvc('xmlprovhelpsvc');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

2. Карантин по правилам. Если Ihvk62.sys не добавится поискать по правилам.
3. Выполните пункт 2 правил - просканируйте утилиткой от доктора. К вам это тоже относится, если у вас не 4.44. Т.к. релизная куреИт 4.44, а антивирус 4.33

[YuriJJ]

Сделал.

[Alex_Goodwin]

Вы все сделали? Перечитайте мое сообщение..

[YuriJJ]

Вы все сделали? Перечитайте мое сообщение..

Sorry почитал пост в первой редакции!
Делаю.

Добавлено через 7 минут

При попытке добавления Ihvk62.sys в карантин жалуется:
Ошибка карантина файла, попытка прямого чтения (Ihvk62.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\Ihvk62.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\Ihvk62.sys)
Карантин с использованием прямого чтения - ошибка

[V_Bond]

выполните еще такой скрипт...

Код:

begin
 SearchRootkit(false, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Ihvk62', 'Start');
 RebootWindows(true); 
end.

После перезагрузки выполните скрипт

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('Ihvk62.sys','');
 DeleteFile('Ihvk62.sys');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.

[YuriJJ]

В Ihvk62.sys и symavc32.sys CureIt нашел и удалил Trojan.NtRootKit.367.

[V_Bond]

тогда новые логи....

[YuriJJ]

Готовы:

[Alex_Goodwin]

Чисто!
Что из этого нужно?

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Интернет восстановился?

[YuriJJ]

Интернета так и нет, Что-то в TCP IP поломалось! Wincock переустанавливал, не помогает!
Буду завтра разбираться!

Добавлено через 1 минуту

Спасибо всем! (кнопку жал! )

[Alex_Goodwin]

Попробуйте http://winsockfix.nl/
Через что в инет ходите?

[YuriJJ]

Пробовал! Она ведь то же делает, что я ручками в реестре кажеться!
Интернетчерез локальную сеть обобщенно. Так вот, когда состояние сетевого подключения открываю, там на закладке "Поддержка" ни один адрес не указан! Говорю "Исправить", а он мне: "Невозможно завершить исправление ошибки, так как не удается выполнить следующие действия: Не удается получить параметры протокола TCP/IP для этого подключения. Продолжение невозможно."

[Alex_Goodwin]

Удалите подключение и создайте заново. Можно удалить TCP/IP для подключения и поставить его заново.
Завтра может кто-нибудь подскажет что-то дельное.

[YuriJJ]

Сносил, ставил карту. Не помогает!
На команду Ping говорит: "Не удается обратиться к драйверу IP. Код ошибки 2."

[Alex_Goodwin]

Попробуйте сам tcpip.sys восстановить с компакта, может его снесли.
Аутпост раньше стоял?
Еще вариант - winsockfix в безопасном режиме.