Показано с 1 по 12 из 12.

Подозрение на сетевой червь (заявка № 79243)

  1. #1
    Junior Member Репутация
    Регистрация
    17.05.2010
    Сообщений
    16
    Вес репутации
    24

    Question Подозрение на сетевой червь

    Процесс svchost.exe постоянно грузится из интернета по адресу cds163.ams9.msecn.net:http. Интернет через локальную сеть. Windows XP SP3, недавно переустановлен. Критические обновления поставил. Предыдущая винда была инфицирована несколькими вирями, в т ч Win32 HLLW Lime 18 и Win32 Palevo aa....
    Что-то с инсталлятором: с диска D не устанавливаются проги, хотя с флешки идут. Никак не устанавливается никакой MS Office, пишет, что не может получить доступ к защищенным файлам Windows. В доступе и разрешениях вроде все нормально.
    Было подозрение на Kido, но Kidokiller ничего не нашел. DrWeb Cureit тоже ничего не нашел. MBAM ругался на 4 записи реестра:

    "Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\NoSMHelp "
    Записи удалил.

    GMER тоже нашел записи реестра. AVZ и HJT тоже что-то понаходили, логи прилагаю -проверьте, пожалуйста, логи.
    Логи MBAM, GMER и RSIT могу вставить при необходимости.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteService('wscsvc');
     RegKeyStrParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wscsvc', 'ImagePath', GetEnvironmentVariable('SystemRoot')+'\System32\svchost.exe -k netsvcs');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    17.05.2010
    Сообщений
    16
    Вес репутации
    24
    Карантин отправил. Логи прилагаю.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    выполните такой скрипт
    Код:
    var j:integer; NumStr:string;
    begin
    for j:=0 to 999 do
     begin
        if j=0 then
            NumStr:='CurrentControlSet' else 
            if j<10 then
                NumStr:='ControlSet00'+IntToStr(j) else
                if j<100 then
                    NumStr:='ControlSet0'+IntToStr(j) else
                    NumStr:='ControlSet'+IntToStr(j);
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wscsvc исправлено на оригинальное.');
      end;
     end;
    SaveLog(GetAVZDirectory + 'log.txt');
    end.
    файл log.txt прикрепите к сообщению

  6. #5
    Junior Member Репутация
    Регистрация
    17.05.2010
    Сообщений
    16
    Вес репутации
    24
    Выполнил. Прикрепляю.
    Вложения Вложения
    • Тип файла: txt log.txt (710 байт, 5 просмотров)

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Сделайте лог MBAM

  8. #7
    Junior Member Репутация
    Регистрация
    17.05.2010
    Сообщений
    16
    Вес репутации
    24
    MBAM нашел несколько файлов на диске D, но это все крэки и чит-коды. Лог прилагаю.
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    лучше от них избавиться

    Добавлено через 48 секунд

    еще что-нибудь беспокоит?
    Последний раз редактировалось polword; 25.05.2010 в 16:57. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    17.05.2010
    Сообщений
    16
    Вес репутации
    24
    Спасибо.

    Осталась проблема:
    Цитата Сообщение от vergere Посмотреть сообщение
    Что-то с инсталлятором: с диска D не устанавливаются проги, хотя с флешки идут. Никак не устанавливается никакой MS Office, пишет, что не может получить доступ к защищенным файлам Windows. В доступе и разрешениях вроде все нормально.
    Мне говорили, что побиты инсталляторы, надо их заново устанавливать. Если это так, подскажите пожалуйста, как это сделать.

    И еще: при загрузке Windows антивирус запускается в "отключенном" режиме, приходится вручную включать защиту. (Microsoft Security Essentials)

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     ExecuteRepair(6);
     ExecuteRepair(8);
     RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
     RebootWindows(true);
    end.

    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;

  12. #11
    Junior Member Репутация
    Регистрация
    17.05.2010
    Сообщений
    16
    Вес репутации
    24
    Скрипт выполнил. Лог прилагаю. Проблема не исчезла.
    Вложения Вложения

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,551
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 20
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) vergere, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Сетевой червь
      От izhgray в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 17.03.2011, 17:10
    2. Похоже, сетевой червь
      От dlosk в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.03.2010, 07:26
    3. Сетевой червь
      От NightTramp в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 18.02.2010, 15:16
    4. Сетевой червь
      От KIAMOND в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 02.06.2009, 20:10
    5. Обнаружен сетевой червь
      От ysterk в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.10.2008, 23:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01178 seconds with 21 queries