-
Нужно мнение знатоков
Здравствуйте, Хелперы. У сотрудника перестал запускаться ДрВеб: ДОС-окно, на его фоне сообщение о недозволенном обращении к памяти и предложение пропустить или прервать.
В защищённом от сбоев режиме CUREIT.EXE выявила
fci.exe c:\windows\system32 BackDoor.Bolg Удален.
hd783fdg.dll c:\windows\system32 Trojan.DownLoader.34053 Удален.
srvany.exe c:\windows\system32 Program.SrvAny.
Запущенный после АВЗ отыскал в памяти:
c:\docume~1\1\locals~1\temp\winsto.exe >>>>> Trojan-Downloader.Win32.Agent.avf успешно удален
и поправил после удаления реестр, на диске :
C:\WINDOWS\Temp\406498755.exe >>>>> Trojan.Win32.Inject.fm успешно удален
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\78PZQ5A6\m2_18_09_07_1[1].exe >>>>> Trojan.Win32.Inject.fm успешно удален
C:\Documents and Settings\1\Local Settings\Temp\3567917006.exe >>>>> Trojan-Clicker.Win32.Small.gj успешно удален
В карантин эти экземпляры не попали т.к. работал с запертой флешки.
Логи созданы после вышеописанных манипуляций.
Следующих файлов на диске не нашлось(поиск проводил АВЗ в обычном режиме работы XP):
C:\DOCUME~1\1\LOCALS~1\Temp\svchots.exe
file://c:\ex.cab
file://c:\eied_s7.cab.
С моей точки зрения надо фиксить эти вещи (просьба поправить):
SP1,
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [hdlfoe df98ndf] C:\DOCUME~1\1\LOCALS~1\Temp\svchots.exe
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
Что ещё утаврить с машиной? Гуру, подскажите?
Заранее спасибо.
P.S. какя вредина способна убить ДрВеб?
Последний раз редактировалось AlexGOMEL; 23.10.2007 в 12:31.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Пофиксите:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\i386kd.exe,
O4 - HKCU\..\Run: [hdlfoe df98ndf] C:\DOCUME~1\1\LOCALS~1\Temp\svchots.exe
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {43331111-1111-1111-1111-611111195622} -
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
O22 - SharedTaskScheduler: Hex port setting - {8D5849C4-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\System32\x2f4fr.dll (file missing)
Добавлено через 2 минуты
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\x2f4fr.dll','');
QuarantineFile('C:\WINDOWS\System32\i386kd.exe','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\svchots.exe','');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\svchots.exe');
DeleteFile('C:\WINDOWS\System32\i386kd.exe');
DeleteFile('C:\WINDOWS\System32\x2f4fr.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
3. Если что-то попадет в карантин - пришлите по правилам.
4. Обновите базы AVZ и сделайте новые логи.
Последний раз редактировалось Bratez; 20.10.2007 в 14:34.
Причина: Добавлено
I am not young enough to know everything...
-
-
Спасибо за быстрый ответ. Попробовать смогу только вечером или завтра.
Есть один вопрос: попадёт ли в карантин QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\svchot s.exe','');
ведь попытка поиска средствами АВЗ ничего не дала?
-
-
Скорее всего этого файла уже нет в живых.
Тогда просто будут удалены ссылки на него в реестре.
I am not young enough to know everything...
-
-
Дык и в голове С: нет cab`ов, а hijackthis не ругается на их отсутствие, и
ни одна програма не отчитывалась об удалении svchots.exe из директории пользователя.
Повторюсь: где в инете посмотреть о действиях зловредов(кто убил вебера: новый или уже прибитый)?
-
-
Рекомендации выполнены, карантин пуст(в архиве только INI файлы), логи прилагаю.
Последний раз редактировалось AlexGOMEL; 23.10.2007 в 12:31.
-
-
Выполните скрипт:
Код:
begin
SetAVZPMStatus(true);
QuarantineFile('C:\WINDOWS\System32\DEMO1_3.SCR','');
RebootWindows(true);
end.
Карантин по правилам. Сделайте дополнительный лог
Код:
1. AVZ/Файл/Стандартные скрипты - отметить #1 - Выполнить
2. Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" -Пуск/Сохранить протокол
3. Упакуйте протокол в архив zip или rar и прикрепите к теме.
-
-
DEMO1_3.SCR - это скринсавер от сборщиков машины.
после выполнения пункта 1 лог не создаётся.
пункты 2 и 3 выполнены.
Последний раз редактировалось AlexGOMEL; 23.10.2007 в 12:31.
-
-
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\System32\drivers\protect.sys','');
DeleteFile('C:\Windows\System32\drivers\protect.sys');
BC_ImportALL;
BC_DeleteSvc('protect');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам.
Обновите базы AVZ.
Сделайте новые логи AVZ стандартные + дополнительный.
I am not young enough to know everything...
-
-
В карантине опять только INI файлы.
логи делаю.
-
-
Вот логи. Систему пропатчил до SP2.
Последний раз редактировалось AlexGOMEL; 23.10.2007 в 12:31.
-
-
C:\Documents and Settings\1\Рабочий стол\Всё Моё (Ксюша)\всякое\обои\VSoft Wallpaper Changer\WC.exe - это знаете что ?
если нет пришлите по правилам ....
больше ничего по дозрительного влогах не вижу ....
осталось разобраться этим ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
и кряк от сп1 стоит убрать ...
пофиксите...
Код:
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
Пуск > Выполнить; sc delete reset5 нажать ОК
Последний раз редактировалось V_Bond; 21.10.2007 в 18:26.
-
-
Угу, эти службы поправлю через скрипты АВЗ.
C:\Documents and Settings\1\Рабочий стол\Всё Моё (Ксюша)\всякое\обои\VSoft Wallpaper Changer\WC.exe - это детское страдание в виде смены обоев.
Спасибо за помощь. Гомельчане удовлетворены полностью. Я заработал пиво,
каким образом откатить процент Хелперам?:-D
Тему можно закрывать.
З.Ы. А кто же таки прибил Вебера изначально?
- Что такое "поддержка пользователей"?
- А это если у пользователя вся инфа накрылась медным тазом, то ты подходишь, кладешь руку на плечо и говоришь: "Как я вас понимаю!"
-
-
каким образом откатить процент Хелперам?:-D
Кнопочки есть специальные, с пальцем кверху
I am not young enough to know everything...
-