Junior Member
Вес репутации
60
Помогите полечить
Стоит NOD32 на ноуте с XP Prof. Не может справиться с Wigon'ом. Прошёл по вашим правилам CureIt'ом - тот нашёл и удалил кучу вирусов. Потом сделал 2 прохода AVZ и подозрение лежит на файлах ayagbf.exe и msbzgh.exe Но боюсь, что кроме удаления этих файлов надо ещё где-то подкрутить. Посмотрите, пожалуйста, мои логи.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
60
Не смог сразу вставить логи
Вложения
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\drivers\msbzgh.exe C:\WINDOWS\system32\userinit.exe
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-000000000000} - C:\WINDOWS\42415614.dll (file missing)
O2 - BHO: (no name) - {B4B6C03D-7728-4033-838E-5F44C5001526} - C:\WINDOWS\system32\dxtmsf.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dxtmsf.dll','');
QuarantineFile('C:\WINDOWS\42415614.dll','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\Program Files\AVSystemCare\rtasks.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\msftp.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\msbzgh.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\ayagbf.exe','');
QuarantineFile('C:\Documents and Settings\LifeBook\Local Settings\Application Data\ayagbf.exe','');
DeleteFile('C:\Documents and Settings\LifeBook\Local Settings\Application Data\ayagbf.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\ayagbf.exe');
DeleteFile('C:\WINDOWS\system32\drivers\msbzgh.exe');
DeleteFile('C:\WINDOWS\system32\msftp.dll');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\Program Files\AVSystemCare\rtasks.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\42415614.dll');
DeleteFile('C:\WINDOWS\system32\dxtmsf.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=17179 ).
Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Повторил тестирование-вот логи
На этот раз вроде один руткит в первом тесте присутствовал
А проверка CureIt`ом опять выявила троянец в msftp.dll
Вложения
Последний раз редактировалось Azar; 30.01.2008 в 11:42 .
Причина: доп. проверка
Все в порядке, активная зараза успешно удалена.
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\sysproc.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\sysproc.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Посмотрите, нужно ли вам что-либо из этого:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Лишнее отключим.
Добавлено через 4 минуты
В первом карантине было:
msftp.dll - Trojan-Downloader.Win32.Small.hwc
msbzgh.exe, ayagbf.exe - Trojan-Dropper.Win32.Agent.dsg
Последний раз редактировалось Bratez; 30.01.2008 в 12:26 .
Причина: Добавлено
I am not young enough to know everything...
Junior Member
Вес репутации
60
Для удалённой работы установлен RAdmin, так что все остальные Remote сервисы не нужны, равно как и автозапуск и доступ. Это же личный ноутбук, а не комп в офисе.
Как отключить?
Вот скрипт для отключения:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Огромное спасибо за оперативную и действенную помощь!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 28 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\lifebook\\local settings\\application data\\ayagbf.exe - Trojan-Dropper.Win32.Agent.dsg (DrWEB: Trojan.MulDrop.10872) c:\\documents and settings\\localservice\\local settings\\application data\\ayagbf.exe - Trojan-Dropper.Win32.Agent.dsg (DrWEB: Trojan.MulDrop.10872) c:\\windows\\system32\\drivers\\msbzgh.exe - Trojan-Dropper.Win32.Agent.dsg (DrWEB: Trojan.MulDrop.10872) c:\\windows\\system32\\msftp.dll - Worm.Win32.Socks.r (DrWEB: Trojan.DownLoader.44897)