Trojan.Packed.142

Printable View

03.09.2007, 21:10
MihailKrasnodar

Trojan.Packed.142

Операционная система: Windows XP Home Edition с интегрированным Service Pack 2
Версия Dr. Web: 4.33 с обновлением 01.09.2007 в 12:00
На компьютере наблюдаются: зависание Internet Explorer, задержки при переключении между окнами, «тормоза» при запуске программ и открытии файлов, в «Диспетчере задач» 7 процессов svchost.exe, один из которых загружается до 40 % при выходе в Интернет.
При сканировании в безопасном режиме и отключенном восстановлении системы был обнаружен Trojan.Packed.142 в виде файла c/windows/system32/gme.exe.exe
После его удаления ничего не изменилась. Последующая проверка жесткого диска программой cureit-beta не показала наличие вирусов (я запускал сканер в безопасном режиме с отключенным восстановлением системы с локального диска). Я выполнил инструкции, содержащиеся на сайте [URL="http://helpme.virusinfo.info/"][COLOR=#4170a0]http://helpme.virusinfo.info/[/COLOR][/URL]
Логи от AVZ и HijackThis находятся в архиве по адресу [URL="http://moroz17.narod.ru/log.rar"][COLOR=#4170a0]http://moroz17.narod.ru/log.rar[/COLOR][/URL]
Пароль: super
Прошу помочь мне в обнаружении этого вируса.
03.09.2007, 21:20
V_Bond

присоедините логи к теме как написано в правилах ....
03.09.2007, 21:22
drongo

Собственно, какая проблема присоединить файлы как указано в правилах?
03.09.2007, 22:31
MihailKrasnodar

Извините, присоединяю.
03.09.2007, 22:45
V_Bond

выполните скрипт ...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Program Files\Iconic Tray\it.exe','');
QuarantineFile('C:\WINDOWS\system32\systl7.dll','');
QuarantineFile('C:\WINDOWS\bittorrent.exe','');
QuarantineFile('c:\program files\common files\microsoft shared\web folders\ibm00002.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил....
03.09.2007, 23:14
MihailKrasnodar

Файл сохранён как 070903_141026_virus_46dc5c22f18f3.zip
Размер файла 69631
MD5 08ab18d77fb03e69d6d252c2229bfff9
03.09.2007, 23:38
V_Bond

C:\Program Files\Iconic Tray\it.exe -чистый
c:\program files\common files\microsoft shared\web folders\ibm00002.dll Trojan.PWS.Sinowal.CA (BitDefender)
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\bittorrent.exe');
DeleteFile('c:\program files\common files\microsoft shared\web folders\ibm00002.dll');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
попробуйте поискать при помощи AVZ -ceрвис-поиск файлов на диске C:\WINDOWS\system32\systl7.dll если найдется пришлите согласно правил...
повторите логи....
04.09.2007, 01:18
MihailKrasnodar

[SIZE=3][FONT=Times New Roman]Скрипт выполнил.[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Файл C:\WINDOWS\system32\systl7.dll не найден.[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]Прикрепляю обновлённые логи.[/SIZE][/FONT]
04.09.2007, 02:57
Bratez

Больше ничего вредоносного не видно.

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\systl7.dll
[/code]
И вот это желательно поправить:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
04.09.2007, 11:01
MihailKrasnodar

[quote=Bratez;131619]
И вот это желательно поправить:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code][/quote]
Извиняюсь за неграмотность. Подскажите, каким образом это подправляется?
04.09.2007, 11:09
drongo

[quote=MihailKrasnodar;131693]Извиняюсь за неграмотность. Подскажите, каким образом это подправляется?[/quote]элементарно, из лога ;) вот готовый скрипт:[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
[/code]

Чтобы уменьшить шанс заражения, советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!

Удачи!