Висел в трее значком, от туда прибился. Но сообщения Windows Security Alert Warning! Potential Spyware Operation... выскакивают с завидным постоянством. Календарь, панель управления блокированы, regedit есть.
Логи сделал по правилам выкладываю.
Printable View
Висел в трее значком, от туда прибился. Но сообщения Windows Security Alert Warning! Potential Spyware Operation... выскакивают с завидным постоянством. Календарь, панель управления блокированы, regedit есть.
Логи сделал по правилам выкладываю.
Честно говоря многовато накопили добра.
Выполнить скрипт:
[CODE]begin
Clearhostsfile;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\systems.txt','');
QuarantineFile('C:\WINNT\system32\ntos.exe','');
QuarantineFile('c:\winnt\system32\printer.exe','');
QuarantineFile('autorun.exe','');
QuarantineFile('system.exe','');
QuarantineFile('C:\WINNT\system32\WinAvXX.exe','');
BC_DeleteFile('C:\WINNT\system32\ntos.exe');
DeleteFile('C:\WINNT\system32\ntos.exe');
DeleteFile('C:\WINNT\system32\systems.txt');
BC_DeleteSvc('kpoof');
BC_DeleteSvc('poof');
BC_DeleteFile('C:\WINNT\system32\systems.txt');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить [B]ВЕСЬ[/B] карантин через ссылку вверху темы.
Почистить:C:\Documents and Settings\Администратор\Local Settings\Temp\
[B]Сменить ВСЕ пароли, т.к. был Пинч.[/B]
Сделать новые логи.
В дополнение к скрипту: провериться Cure-It полностью, желательно сначала в защищенном режиме, а потом в обычном.
Скрипт исполнил.
Карантин выслсал.
Темп почистил.
Новые логи добавляю.
Cure-it пока не проверял.
Гадость пока присутствует - выкидывает сообщение раз в 5 минут.
из попавших в карантин ....
c:\winnt\system32\printer.exe [B]Trojan.Win32.Qhost.oj[/B]
C:\WINNT\system32\systems.txt [B]not-virus;Hoax.Win32.Renos.jh[/B]
C:\WINNT\system32\WinAvXX.exe [B]Trojan.Win32.Qhost.oj[/B]
C:\WINNT\system32\ntos.exe [B]Trojan.Agent.AFGS[/B]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\system.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
DeleteFile('c:\winnt\system32\printer.exe');
DeleteFile('C:\WINNT\system32\WinAvXX.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\winlogon.exe');
BC_ImportAll;
BC_Activate;
ClearHostsFile;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
Скрипт выполнил!
Карантин прислал по правилам.
Сообщение снова лезет!!!
Спасибо что помогаете, а то совсем запарило оно!
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
А логи снова высылать?
Просто WinAvXX.exe снова сидит в System32!
system.exe - троян Trojan.Virantix по Симантеку
Вот описание: [url]http://safe.cnews.ru/bugtrack/entry/index.shtml?malicious/2007/07/31/102765[/url]
второй тоже.
Будем убивать.
[CODE]begin
Clearhostsfile;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\system.exe');
DeleteFile('C:\WINNT\system32\WinAvXX.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После перезагрузки через AVZ - Восст. системы - отметить п.п.2,3,4 нажать Выполнить.
Сделать новые логи.
Ок! Сделал как надо, вот логи !
Описание почитал - все совпадает!
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINNT\system32\WinAvXX.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\system.exe','');
QuarantineFile('c:\winnt\system32\printer.exe','');
DeleteFile('c:\winnt\system32\printer.exe');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\system.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\WINNT\system32\WinAvXX.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи...
А почему "Восст. системы" включено? Страшно отключать или прятно долго лечится.
а разве в W2K восстановление?
А и еще невозможно попасть в панель управления - как ее включить через реестр? При выборе свойства в "Мой компьютер" оно не пускает то же, типа прав нет :-)
скрипт выполнил, Карантин отослал а вот и логи!
И кстати панель управления я включил обратно.
В логах больше ничего подозрительного.
Выполните скрипт:
[code]
begin
ExecuteRepair(6);
ExecuteRepair(13);
ExecuteRepair(17);
end.[/code]
И вот это посмотрите:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба Messenger (Служба сообщений)
>> разрешена потенциально опасная служба Alerter (Оповещатель)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Безопасность: разрешен автоматический вход в систему
[/code]
Что используете - скажите, остальное поправим.
И ведь действительно!
Сообщение больше не вылезает!
Спасибо огромное, парни! Без вас бы форматнул все к чертям :)
Хорошо что есть люди готовые помочь в трудную минуту!
А из перечисленого скорее всего почти ничего и не надо разве что
>> Безопасность: разрешен автоматический вход в систему
тогда такой скрипт...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]46[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\autorun.exe - [B]Trojan.Win32.Qhost.oj[/B] (DrWEB: Trojan.Fakealert.305)[*] c:\\documents and settings\\администратор\\главное меню\\программы\\автозагрузка\\system.exe - [B]Trojan.Win32.Qhost.oj[/B] (DrWEB: Trojan.Fakealert.305)[*] c:\\winnt\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Packed.180)[*] c:\\winnt\\system32\\printer.exe - [B]Trojan.Win32.Qhost.oj[/B] (DrWEB: Trojan.Fakealert.305)[*] c:\\winnt\\system32\\systems.txt - [B]Hoax.Win32.Renos.jh[/B] (DrWEB: Trojan.Fakealert.305)[*] c:\\winnt\\system32\\winavxx.exe - [B]Trojan.Win32.Qhost.oj[/B] (DrWEB: Trojan.Fakealert.305)[/LIST][/LIST]