День добрый. Такая проблема: постоянно лезет при включении IE один и тот же адрес: [URL]http://85.255.119.93./dev[/URL]......... У меня стоит AVAST! Связь блокирует но что то тут не так....
Printable View
День добрый. Такая проблема: постоянно лезет при включении IE один и тот же адрес: [URL]http://85.255.119.93./dev[/URL]......... У меня стоит AVAST! Связь блокирует но что то тут не так....
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
QuarantineFile('C:\WINDOWS\system32\admparseh.exe','');
QuarantineFile('C:\Install\rules.doc','');
QuarantineFile('C:\WINDOWS\system32\X8shA381.exe','');
QuarantineFile('C:\WINDOWS\system32\AClient.dll','');
QuarantineFile('C:\Windows\xpupdate.exe','');
QuarantineFile('C:\WINDOWS\system32\spools.exe','');
QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
BC_ImportQuarantineList;
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Пока что все по старому......
Логи делать не нужно было, т.к. пока ничего не менялось, скрипт только собирает анализы.
Карантина вашего не вижу.
Прошу прощения- не сообразил. Отослал карантин
admparseh.exe - [B]Packed.Win32.PolyCrypt.d[/B]
AClient.dll - [B]Packed.Win32.Morphine.a (модификация)[/B]
1. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\admparseh.exe');
DeleteFile('C:\WINDOWS\system32\AClient.dll');
BC_ImportDeletedList;
BC_DeleteSvc('UPSRasMan');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
2. Пофиксите в HijackThis:
[code]
O2 - BHO: HttpGuard - {98B822AD-6BE7-49BC-B773-97240B774080} - C:\WINDOWS\system32\AClient.dll
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\system32\spools.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O20 - Winlogon Notify: atietaxx - C:\WINDOWS\
O20 - Winlogon Notify: atietaxx- - atietaxx.dll (file missing)
[/code]
3. Удалите все задания в Планировщике.
Продолжение следует...
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Выполните следующий скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ansif.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\crypt32.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\cryptnet.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\cscdll.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\wlnotify.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\sclgntfy.dll','');
QuarantineFile('C:\WINDOWS\system32\mmsvc32.exe','');
QuarantineFile('C:\WINDOWS\system32\adptifl.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите новый карантин по правилам.
Все проделал.
C:\WINDOWS\SYSTEM32\crypt32.dll
C:\WINDOWS\SYSTEM32\cryptnet.dll
C:\WINDOWS\SYSTEM32\cscdll.dll
C:\WINDOWS\SYSTEM32\wlnotify.dll
C:\WINDOWS\SYSTEM32\sclgntfy.dll
Этих файлов в карантине не оказалось, хотя указано, что они добавлены.
Поищите их вручную через AVZ: Сервис - Поиск файлов на диске
и пришлите согласно приложению 2 правил.
Ушел
Ладно, оставим их, очевидно это настоящие файлы windows, непонятно только, почему они отображены в логе HijackThis...
Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ansif.exe');
DeleteFile('C:\WINDOWS\system32\adptifl.dll');
BC_ImportDeletedList;
BC_DeleteSvc('W32TimeTlntSvr');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\system32\mmsvc32.exe[/code]
и сделайте новые логи.
Последний
Больше ничего подозрительного не видно.
Как чувствует себя пациент?
И еще посмотрите это:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Что нужно - скажите, остальное поправим.
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Да, чуть не забыл: задания в Планировщике вы так и не удалили.
Это можно сделать через Панель управления - Назначенные задания, либо через AVZ: Сервис - Менеджер планировщика заданий.
Благодарю - пациент чувствует себя неплохо.
Насчет служб.....пожалуй (Task Scheduler) и CDROM
Остальное не имеет для меня значения
Планировщик стер - спасибо за напоминание
Вот скрипт для поправки:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
P.S. Если компьютер в локальной сети с использованием общего доступа к файлам, то анонимного пользователя запрещать не надо. В этом случае уберите первую строчку скрипта после begin.
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!
Удачи!