Junior Member
Вес репутации
61
Trojan.WIN32.BHO.abo
Здравствуйте все!
При попытке зайти в сетевое окружение загружается интернет-браузер и открывает порно-сайты. NOD32 ничего не нашел, CureIT нашел Downloader, при повторной загрузке не нашел ничего. AVZ выдал подозрение на сабж. Помогите, пожалуйста, выковырять эту заразу.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\httpap.dll','');
DeleteFile('C:\WINDOWS\system32\httpap.dll');
DelBHO('{2942550C-0A80-4246-94A6-B5C0CA4E964C}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=17728 ).
Обновите базы AVZ и сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
61
Вложения
В логах чисто.
Можно пофиксить строчку:
Код:
O18 - Protocol: csnet - {FF3EFE67-7569-11D2-9F80-00104B107C97} - C:\Program Files\Consistent Software\NormaCS 1.0 Demo Client\pph_demo_net.dll (file missing)
Посмотрите, нужно ли вам что-либо из этого:
Код:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Лишнее отключим.
I am not young enough to know everything...
Junior Member
Вес репутации
61
Первое пофиксила.
Из второго можно оставить только доступ анонимного пользователя и автозапуск с CDROM.
Вот скрипт для отключения ненужного:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
Надеюсь, проблем больше нет?
I am not young enough to know everything...
Junior Member
Вес репутации
61
Проблемы исчезли. :-) Спасибо.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 3 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\httpap.dll - Rootkit.Win32.Podnuha.y (DrWEB: Trojan.DownLoader.37561)