Трояны, много.

Printable View

09.09.2007, 18:46
tenzor

Трояны, много.

Файлы прикрепляю.
Процессор занимает процесс qttask.exe (собственно это должен быть Qucktime, но скорее это уже вирус работает).
Прошу помочь!
09.09.2007, 19:20
drongo

Давайте сначала руткит убьём, а потом будем думать дальше.

1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]begin
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_QrFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_QrFile('C:\WINDOWS\system32\userinit.exe');
BC_QrFile('C:\WINDOWS\system32\dumprep.exe');
BC_QrFile('C:\WINDOWS\system32\wbem\wmiprvse.exe');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_Activate;
RebootWindows(true);
end.[/code]

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12294[/url]
2.Сделать новые логи, как в первом вашем сообщении.

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

чуть поправил скрипт.
09.09.2007, 21:11
tenzor

Карантин загрузил, сейчас логи сделаю.
09.09.2007, 21:43
tenzor

логи прилагаю.
09.09.2007, 21:57
Alex_Goodwin

1. Пофиксить:
[QUOTE]O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe[/QUOTE]

2.Выполнить скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RemoteRegistry', 4);
QuarantineFile('C:\Program Files\Common Files\ARS Company\Agent\Agent.exe','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteService('ICF', true);
BC_DeleteSvc('ICF');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]
3. Карантин по правилам.
4. Новые логи.
09.09.2007, 22:01
V_Bond

что из этого используете....
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
09.09.2007, 23:10
tenzor

Пункт 1 сделал, пофиксил.
Перезагрузился.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 5 минут[/I][/B][/color][/size]

После выполнения скрипта п.2 перезагрузился, системе изрядно поплохело.
В Сетевых Подключениях пусто совсем, Drug&drop и просто копирование не работают (молча), в панели задач задачи не отображаются.
В карантин ничего не попало, логи пока отправить не могу - ни сети нет, ни скопировать не могу.
Видимо, придется ставить XP сверху.
(Если не будет других предложений).
Да, процесс cli.exe активно трудится.
09.09.2007, 23:55
Alex_Goodwin

Давайте новые логи.
Скриптом был дозачищен зловред и отключены службы:Службы: потенциально опасная служба RemoteRegistry (Удаленный реестр)
потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
12.09.2007, 22:42
tenzor

После установки сверху система заработала.
Логи сделал, прилагаю.
12.09.2007, 22:57
V_Bond

зловредного ничего не замечено ...
12.09.2007, 23:33
tenzor

ВСЕМ БОЛЬШОЕ СПАСИБО ЗА ПОМОЩЬ!
:druzja:
13.09.2007, 13:26
drongo

дырочки всё же желательно закрыть
[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]