Показано с 1 по 9 из 9.

Помогите полечить (заявка № 17179)

  1. #1
    Junior Member Репутация
    Регистрация
    29.01.2008
    Сообщений
    5
    Вес репутации
    60

    Thumbs up Помогите полечить

    Стоит NOD32 на ноуте с XP Prof. Не может справиться с Wigon'ом. Прошёл по вашим правилам CureIt'ом - тот нашёл и удалил кучу вирусов. Потом сделал 2 прохода AVZ и подозрение лежит на файлах ayagbf.exe и msbzgh.exe Но боюсь, что кроме удаления этих файлов надо ещё где-то подкрутить. Посмотрите, пожалуйста, мои логи.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    29.01.2008
    Сообщений
    5
    Вес репутации
    60

    Не смог сразу вставить логи

    вот логи
    Вложения Вложения

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\drivers\msbzgh.exe C:\WINDOWS\system32\userinit.exe
    O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-000000000000} - C:\WINDOWS\42415614.dll (file missing)
    O2 - BHO: (no name) - {B4B6C03D-7728-4033-838E-5F44C5001526} - C:\WINDOWS\system32\dxtmsf.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\dxtmsf.dll','');
     QuarantineFile('C:\WINDOWS\42415614.dll','');
     QuarantineFile('C:\WINDOWS\winlogon.exe','');
     QuarantineFile('C:\Program Files\AVSystemCare\rtasks.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\msftp.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\msbzgh.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\ayagbf.exe','');
     QuarantineFile('C:\Documents and Settings\LifeBook\Local Settings\Application Data\ayagbf.exe','');
     DeleteFile('C:\Documents and Settings\LifeBook\Local Settings\Application Data\ayagbf.exe');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\ayagbf.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\msbzgh.exe');
     DeleteFile('C:\WINDOWS\system32\msftp.dll');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\Program Files\AVSystemCare\rtasks.exe');
     DeleteFile('C:\WINDOWS\winlogon.exe');
     DeleteFile('C:\WINDOWS\42415614.dll');
     DeleteFile('C:\WINDOWS\system32\dxtmsf.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=17179).
    Сделайте новые логи.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    29.01.2008
    Сообщений
    5
    Вес репутации
    60

    Повторил тестирование-вот логи

    На этот раз вроде один руткит в первом тесте присутствовал
    А проверка CureIt`ом опять выявила троянец в msftp.dll
    Вложения Вложения
    Последний раз редактировалось Azar; 30.01.2008 в 11:42. Причина: доп. проверка

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Все в порядке, активная зараза успешно удалена.

    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\sysproc.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\sysproc.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите новый карантин согласно приложению 3 правил.

    Посмотрите, нужно ли вам что-либо из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Лишнее отключим.

    Добавлено через 4 минуты

    В первом карантине было:
    msftp.dll - Trojan-Downloader.Win32.Small.hwc
    msbzgh.exe, ayagbf.exe - Trojan-Dropper.Win32.Agent.dsg
    Последний раз редактировалось Bratez; 30.01.2008 в 12:26. Причина: Добавлено
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    29.01.2008
    Сообщений
    5
    Вес репутации
    60
    Для удалённой работы установлен RAdmin, так что все остальные Remote сервисы не нужны, равно как и автозапуск и доступ. Это же личный ноутбук, а не комп в офисе.
    Как отключить?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Вот скрипт для отключения:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    29.01.2008
    Сообщений
    5
    Вес репутации
    60
    Огромное спасибо за оперативную и действенную помощь!

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 28
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\lifebook\\local settings\\application data\\ayagbf.exe - Trojan-Dropper.Win32.Agent.dsg (DrWEB: Trojan.MulDrop.10872)
      2. c:\\documents and settings\\localservice\\local settings\\application data\\ayagbf.exe - Trojan-Dropper.Win32.Agent.dsg (DrWEB: Trojan.MulDrop.10872)
      3. c:\\windows\\system32\\drivers\\msbzgh.exe - Trojan-Dropper.Win32.Agent.dsg (DrWEB: Trojan.MulDrop.10872)
      4. c:\\windows\\system32\\msftp.dll - Worm.Win32.Socks.r (DrWEB: Trojan.DownLoader.44897)


  • Уважаемый(ая) Azar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. помогите полечится от вируса (ов)
      От V-A-S в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 21.12.2011, 14:53
    2. помогите полечить
      От AndrewVL в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 11.10.2010, 19:46
    3. Помогите полечить вирус
      От sashgareen в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.12.2009, 21:26
    4. Помогите полечить
      От AndrewVL в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 01.10.2009, 18:20
    5. помогите полечить [Trojan-Ransom.Win32.Hexzone.agn ]
      От Artur Z. в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 10:03

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00091 seconds with 20 queries