Подозрение на вирус.
Здравствуйте. Рабочий компьютер подключается к сервису на сайте через Java-приложение. Последнее время компания, предоставляющая этот сервис, постоянно предупреждает нас о наличии вирусов на нашей машине. На машине установлен DrWeb. Обновляем каждый день. Вирусов не обнаруживает. Сделал логи AVZ и HijackThis согласно правилам.
Посмотрите, пожалуйста.
Спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Здравствуйте.
Заражение, как минимум, было.
Пофиксите с помощью Hijackthis строчки:Программа AVZ - файл - выполнить скрипт - выполните скрипт:Код:O20 - Winlogon Notify: atiddaxx - atiddaxx.dll (file missing) O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)После перезагрузки, карантин AVZ загрузите по ссылке в шапке темы, как написано в прил.3 правил, и повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys',''); QuarantineFile('C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\.#\MBX@60C@1373348.###',''); QuarantineFile('C:\WINDOWS\System32\Drivers\bhM84.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\bhM84.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\bhM84.sys'); DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys'); BC_DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys'); DeleteFile('C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\.#\MBX@60C@1373348.###'); BC_DeleteFile('C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\.#\MBX@60C@1373348.###'); DeleteService('bhM84'); DeleteService('sywtdxaz'); DeleteService('protect'); BC_DeleteSvc('bhM84'); BC_DeleteSvc('sywtdxaz'); BC_DeleteSvc('protect'); BC_Importquarantinelist; BC_Activate; ExecuteSysClean; clearhostsfile; RebootWindows(true); end.
В дополнение: обновите Java RE - http://www.java.com/ru/download/index.jsp - и проверьте настройки сетевого подключения. Вы, как я понимаю, из Питера, а адреса DNS в настройках указаны украинские.
Строчки пофиксил, скрипт выполнил, карантин загрузил, логи сделал, по указанной ссылке Java RE обновил.
Но вот как проверить настройки сетевого подключения не знаю.
Да, я из Питера. В адресах и настройках DNS не разбираюсь.Вы, как я понимаю, из Питера, а адреса DNS в настройках указаны украинские.
Подскажите, пожалуйста, про адреса и про настройки сетевого подключения. Что с ними делать?
Спасибо.
Панель управления - сетевые подключения - подключение по локальной сети - свойства - выбрать "Протокол Интернета (TCP/IP)" - свойства - дополнительно - в закладке "DNS" удалите имеющиеся там адреса, добавьте адреса DNS вашего интернет-провайдера ( на сайте Quantuma указаны адреса 213.170.64.33, 213.170.65.33 , но лучше уточнить в службе технической поддержки). Не выполняйте правку, не уточнив адреса DNS вашего интернет-провайдера - в случае указания неверных адресов останетесь без доступа в Интернет
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:После перезагрузки, повторите лог Hijackthis и лог исследования системы.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('SSDPSRV', 4); RebootWindows(true); end.
Адреса удалил/добавил, скрипт выполнил, логи сделал.
Интернет не пропал.
"Пофиксите" в HijackThis
В случае, если пропадёт интернет, то в настройках пропишите адреса DNS вашего провайдера. Интернет вряд ли пропадёт, но я должен был предупредить.Код:O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.122 85.255.112.83 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.122 85.255.112.83 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.122 85.255.112.83
Что с проблемами?
Пофиксил. Интернет не пропал.
Как я понял, сбои в работе нашего Java-приложения, о которых предупреждал поставщик услуг, возникли из-за невозможности обновить Java-машину. Последние были вызваны наличием хвостов зловредов и/или неправильными настройками DNS.Что с проблемами?
Сейчас хвосты удалены и настройки исправлены. Java обновляется нормально.
Полагаю, проблема решена.
Спасибо за помощь.
В дополнение ко всему: у васУже имеется в наличии SP3 для Windows XP и IE8 . Крайне рекомендуется обновить систему или, хотя бы, установить все доступные через службу автоматического обновления заплатки для SP2. После установки SP3 может потребоваться повторная активация Windows.Код:Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) ArRiad, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
