Отправляется почта с компьютера без моего участия - симантек показывает отправку. Запускал CureIt в безопасном режиме, нашел несколько вирусов и изолировал их. Выполнил как сказано в описании avz и hijackthis. Файлы приложил. Помогите пожалуйста.
Printable View
Отправляется почта с компьютера без моего участия - симантек показывает отправку. Запускал CureIt в безопасном режиме, нашел несколько вирусов и изолировал их. Выполнил как сказано в описании avz и hijackthis. Файлы приложил. Помогите пожалуйста.
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('\??\C:\WINDOWS\system32\ati2psag.sys','');
QuarantineFile('C:\WINDOWS\system32\idaw64.exe','');
DeleteFile('C:\WINDOWS\system32\idaw64.exe');
DeleteFile('\??\C:\WINDOWS\system32\ati2psag.sys');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe ');
BC_DeleteSvc('FCI');
BC_DeleteSvc('ICF');
BC_DeleteSvc('ati2psag');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил..
повторите логи...
--
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить, если что-то попадет в карантин.
Выполнять до скрипта V_Bond
Выполнил последовательно скрипты PavelA, затем V_Bond. Карантин приложил, повторно выполнил проверку, логи приложил.
ВИРУСЫ СЮДА НИЗЯ!!!! Грузить через ссылку вверху темы.
Получишь "нарушение" от модеров.
[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]
Trojan.Win32.Agent.bwn - 'c:\windows\system32\svchost.exe:ext.exe:$DATA' (по Касперскому)
А почему восстановление системы не отключено?
Там между прочим копия вашего зловреда лежит:
[quote]C:\System Volume Information\_restore{77CE10D8-AC72-4DC0-8D32-8EC180455803}\RP1\A0001010.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
[/quote]
Отключите его сейчас!
Посмотрите, что вам нужно из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
что не нужно - отключим.
[quote=PavelA;140658]ВИРУСЫ СЮДА НИЗЯ!!!! Грузить через ссылку вверху темы.
Получишь "нарушение" от модеров.
[SIZE=1][COLOR=#666686][B][I]Добавлено через 15 минут[/I][/B][/COLOR][/SIZE]
Trojan.Win32.Agent.bwn - 'c:\windows\system32\svchost.exe:ext.exe:$DATA' (по Касперскому)[/quote]
Извините, торопился.
Спасибо за помощь, больше ничего не лезет.
Еще какие-нибудь манипуляции необходимо сделать?
[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]
[quote=Bratez;140687]А почему восстановление системы не отключено?
Там между прочим копия вашего зловреда лежит:
Отключите его сейчас!
...[/quote]
Отключить и заново всю процедуру выполнить?
Да. Заново логи, а то может что-то как птица Феникс восстановилось.
Карантин AVZ тоже можно почистить.
Проверил еще раз. Логи в приложении.
Логи чистые.
Что не нужно? Будем закрывать.
[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/QUOTE]
Нет, не надо ничего закрывать.
Огромное спасибо за помощь.
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Удачи!