Здравствуйте!
На ноутбуке Toshiba была куча вирусов.
Я лечил его с помощью свежего CureIt в Safe Mode.
Однако, по-прежнему он пытается что-то слать наружу - Spider Mail часто активизируется.
Помогите, пожалуйста!
Printable View
Здравствуйте!
На ноутбуке Toshiba была куча вирусов.
Я лечил его с помощью свежего CureIt в Safe Mode.
Однако, по-прежнему он пытается что-то слать наружу - Spider Mail часто активизируется.
Помогите, пожалуйста!
пофиксите...
[code]
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\_15E57~1\LOCALS~1\Temp\winlogon.exe
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('vedxga4m1et4.exe','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\spoolsvv.exe','');
QuarantineFile('C:\WINDOWS\system32\ozesw.dll','');
QuarantineFile('C:\DOCUME~1\_15E57~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\xpdx.sys','');
QuarantineFile('c:\windows\system32\spoolsvv.exe','');
DeleteFile('c:\windows\system32\spoolsvv.exe');
DeleteFile('C:\WINDOWS\system32\xpdx.sys');
DeleteFile('C:\DOCUME~1\_15E57~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\spoolsvv.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('vedxga4m1et4.exe');
BC_DeleteSvc('FCI');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил.....
[B]V_Bond[/B], Спасибо!
Пофиксил, выполнил скрипт, высылаю содержимое карантина (почему-то в окне AVZ выглядело как набор пар одинаковых файлов) - файл "070912_141346_Vasek_virus_46e83a6a0d78d.zip".
В карантин попал только [B]spoolsvv.exe[/B] - [COLOR="Blue"]Win32/Nuwar.Gen[/COLOR](по Nod32) и его мы удалили,теперь найдите файл [B]ozesw.dll[/B],поместите в архив с паролем "virus" и отправьте по правилам.
И повторите логи.
Файл ozesw.dll не найден ни с помощью AVZ, ни с помощью станд. Поиска Windows (с просмотром системных и скрытых папок).
AVZ после поиска выдает отчет:
[QUOTE]Поиск файлов по маске ozesw.dll
Поиск файлов завершен
Просмотрено 26355, найдено 0[/QUOTE]
Логи прилагаю (почти каламбур:)).
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\aspimgr.exe');
BC_DeleteFile('C:\WINDOWS\system32\aspimgr.exe');
BC_DeleteSvc('aspimgr');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи ....
Скрипт выполнил, логи высылаю.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ozesw.dll');
BC_DeleteFile('C:\WINDOWS\system32\ozesw.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
O22 - SharedTaskScheduler: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - C:\WINDOWS\system32\ozesw.dll (file missing)
[/CODE]
Повторите логи.
Что из этого вам нужно?остальное пофиксим
[QUOTE]>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/QUOTE]
Скрипт выполнил, а вот пофиксить не удалось - строк с кодом O22 не было ни одной.
[QUOTE]
Что из этого вам нужно?остальное пофиксим
Цитата:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/QUOTE]
Прошу оставить автозапуск программ с CD-ROM - т.к. компьютером пользуются все члены многочисленной семьи (не моей) - всем им не смогу объяснить как делать "автозапуск вручную".
По поводу "SSDPSRV (Служба обнаружения SSDP)" затрудняюсь ответить - видимо, не нужна.
Насчет остального - пофиксить, однозначно.
Логи повторяю...
[QUOTE]Насчет остального - пофиксить, однозначно.[/QUOTE]
Вот скрипт:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.[/code]
[B]V_Bond[/B], [B]Muzzle[/B], [B]Bratez[/B],
большое вам спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\spoolsvv.exe - [B]Trojan-Proxy.Win32.Agent.oz[/B] (DrWEB: Trojan.Spambot)[/LIST][/LIST]