Много троянов PassView, GoldSpy, FakeAlert и пр.

[uadennis]

Видимая часть началась с появлением Warning! Potential Spyware operation. В ответ на клик "Да" выбрасывает на страничку с закосом под антивирусное содержание и предлагает еще какую-то прогу загрузить и запустить. Не загружал ее.

Все сделал согласно инструкции. Отключить восстановление системы не удалось, т.к. в ответ на правый клик на "Моем компьютере" и выборе пункта "свойства" выпадает сообщение, что "Операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору сети". Ранее такого не наблюдалось, т.е. "свойства" открывались.

CureIt в safe mode обнаружил пару десятков файлов инфицированных следующей дрянью: Tool.PassView.Origin, Tool.BrutusPWS, Trojan.PWS.GoldSpy, BackDoor.Bulknet, Tool.Prockill, Trojan.FakeAlert.357 (и 311 - судя по названию как раз то самое видимое) и пр. Что не лечилось поудалял (с помощью CureIt конечно).

На форуме с моего компа при нажатии кнопки "Новая тема" и последющем вводе имени и пароля появляется страничка объявляющая, что идет переадресация, а потом выбрасывает обратно на пустые поля имени и пароля. Поэтому пост отправляю с другого компа.

Прошу помощи. Файлы прилагаются. Заодно просветите, как выполняются (посредством какой программы) скрипты?

[V_Bond]

пофиксите ...

Код:

O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\vtr.dll (file missing)
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKLM\..\Policies\Explorer\Run: [COM Ports] System32.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat

выполните скрипт...

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\vtr.dll','');
 QuarantineFile('C:\WINDOWS\system32\exe','');
 QuarantineFile('C:\WINDOWS\system32\sulimo.dat','');
 QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe','');
 QuarantineFile('c:\windows\system32\o2flash.exe','');
 DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
 DeleteFile('C:\WINDOWS\system32\sulimo.dat');
 DeleteFile('C:\WINDOWS\system32\vtr.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил..

[PavelA]

Восстановление системы отключить срочно перед выполнением скрипта.

[uadennis]

Спасибо большое за оперативность!

Пофиксил, скрипт выполнил, карантин отправил. Только карантин без пароля. Что-то не нашел я там такой опции. Пока еще разок NOD32 прогоню.

Еще какие-то действия нужны будут?

Добавлено через 6 минут

Восстановление системы отключить срочно перед выполнением скрипта.

Не могу войти в "свойства" "моего компьютера". В ответ на выбор этого пункта контекстного меню выпрыгивает сообщение "Операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору сети". Нажимаю ОК (других опций не предлагается), она же появляется второй раз. После второго раза прекращается. Ранее такого не наблюдалось, т.е. "свойства" открывались.

[PavelA]

в AVZ
Файл -- Восст. системы п.6,8,9 отметить -- выполнить.

после этого попробовать восстановление системы отключить.

[V_Bond]

из попавших в карантин ...
C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\VFuj02b1.dll - чистый
c:\windows\system32\o2flash.exe - чистый
повторите логи ...

[uadennis]

Прошелся второй раз по полному кругу инструкции. Логи в приложении. Восстановление системы удалось отключить после запуска указанных пунктов в AVZ. Спасибо за подсказку.

Из карантина исчез один из файлов. Загрузить карантин?

[PavelA]

Карантин загружай.

В логах чисто, зловреды не восстановились.

"Дырки" в системе еще надо позакрывать.

[uadennis]

Очень радует!!!

Загрузил. Судя по названиям из CureIt у меня паслось с пяток вирусов, ворующих пароли. Мрак.

А как с дырками быть посоветуете или где прочитать/проконсультироваться?

Добавлено через 55 секунд

Такое впечатление, что ктото намеренно парольных шпионов натыкал...

[V_Bond]

это потенциальные уязвимости ....
что из этого используется ...?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешены терминальные подключения к данному ПК

[uadennis]

это потенциальные уязвимости ....
что из этого используется ...?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешены терминальные подключения к данному ПК

Джентльмены! Спасибо огромное за помощь!!! Система вроде стабильна. Может подскажете, плз, как выключать службы и прочие дырки, кои не используются?

[V_Bond]

можем закрыть при помощи скрипта ....
(вы решили ,что вам необходимо ? )

[uadennis]

Э-э, дайте время определиться

А где можно просветиться на тему того, какие дырки мне нужны, а какие нет?

[V_Bond]

Службы Windows XP

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 3
• В ходе лечения вредоносные программы в карантинах не обнаружены