Опять Hacktool.Rootkit

Printable View

14.10.2007, 20:16
Botsman

Вложений: 3

Опять Hacktool.Rootkit

Люди добрые,

Где-то поймали Hacktool.Rootkit. При каждой загрузке Symantec AV выдает:

Scan type: Auto-Protect Scan
Event: Security Risk Found!
Risk: Hacktool.Rootkit
File: C:\WINDOWS\system32\DefLib.sys
Location: Quarantine
Computer: CABINET
User: CABINET\Bambula
Action taken: Quarantine succeeded : Access denied

После этого начинают в бешеном количестве отсылаться письма, но вроде Symantec их блокирует.

Жду помощи. Спасибо заранее.
14.10.2007, 20:29
V_Bond

выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\DefLib.sys');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_ImportDeletedList;
BC_DeleteSvc('FCI');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
сделайте лог .... [url]http://virusinfo.info/showthread.php?t=10387[/url]
14.10.2007, 20:45
Botsman

Скрипт сейчас выполню. Насчет логов уточните, пожалуйста. Значит ли, что надо загружаться в безопасном режиме?
14.10.2007, 20:57
Numb

[quote=Botsman;142030]Скрипт сейчас выполню. Насчет логов уточните, пожалуйста. Значит ли, что надо загружаться в безопасном режиме?[/quote]

Не обязательно. Нужно просто включить просмотр всех служб и драйверов и сохранить лог в таком виде. Перед этим в статье рекомендуется запустить нейтрализацию перехватчиков - это лучше сделать, но тогда, после сохранения лога, обязательно перезагрузите машину для нормального продолжения работы.
14.10.2007, 21:06
Botsman

Вложений: 1

Скрипт выполнил, автоматически перегрузился. Собрал лог по инструкции. После этого опять перегружусь в соответствии с рекомендацией. Жду дальнейших указаний...
14.10.2007, 22:01
V_Bond

выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('\??\G:\INSTALL\GMSIPCI.SYS','');
QuarantineFile('\??\G:\NTACCESS.sys','');
QuarantineFile('C:\DOCUME~1\Bambula\LOCALS~1\Temp\SMJHA.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложеня 3 правил ...
14.10.2007, 22:27
Botsman

Послал карантин. При выполнении последнего скрипта, кажется, ругнулся на файлы с диска G, т.к. это cdrom, там нет ничего.
14.10.2007, 22:40
V_Bond

C:\DOCUME~1\Bambula\LOCALS~1\Temp\SMJHA.exe
C:\WINDOWS\system32\SSSensor.dll - оба по вирустотал чисты ....
сделайте логи, как в первом сообщении ,что бы убедиться ,что ничего не осталось ...
14.10.2007, 23:19
Botsman

Вложений: 3

Свежие логи.

Осталось несколько вопросов:

1) Кроме диска C, есть еще D и H. Нужно ли как то проверить их?

2) Нужно и можно ли удалить AVZ и HijackThis после всех манипуляций? Нужны ли какие-то специальные действия для удаления? В каталоге с AVZ есть подкаталоги с карантином и инфицированными. Что делать с ними?

3) Symantec показывает в своем карантине 9 файлов DefLib.sys, которые он туда сегодня поместил. Кстати, интересно, почему 9, раньше был 1. Нужно ли удалить все из этого карантина?

4) RootkitRevealer ([url]http://www.microsoft.com/technet/sysinternals/Utilities/RootkitRevealer.mspx[/url]) продолжает показывать наличие в реестре вот такой бяки, по дате и времени точно совпадающей с моментом заражения:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ICF\bbbbb....(очень много символов b) в статусе Hidden from Windows API
Нужно ли что-то сделать?
14.10.2007, 23:54
V_Bond

1 да своим антивирусом
2 можно
3 конечно нужно
4 ключ реестра сам не опасен (хотя ничего кокретно по этой программе не скажу .. так как не пользуюсь)
в ваших логах чисто .... какие -то проблемы остались ?
15.10.2007, 00:13
Botsman

Проблем больше не наблюдается.
Огромное спасибо за оперативную помощь! Уже собирался форматировать все...
15.10.2007, 00:18
V_Bond

предлагаю закрыть потенциальные уязвимости определитесь что необходимо остальное поможем закрыть
Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
15.10.2007, 00:43
Botsman

[quote=V_Bond;142113]предлагаю закрыть потенциальные уязвимости определитесь что необходимо остальное поможем закрыть
Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена[/quote]

Мне, конечно, стыдно, но не очень в этом разбираюсь... Где бы почитать, чтобы решить, нужно это или нет? На первый взгляд закрыть можно все из перечисленного, ничем пока не пользовался.
Если нетрудно, скажите, пожалуйста, как все закрыть, а я потом выберу, что нужно оставить из полного списка.
15.10.2007, 00:48
V_Bond

прочесть можно [url]http://www.oszone.net/2357/Services[/url]
15.10.2007, 10:05
Botsman

Почитал. Думаю, ничего из перечисленного не нужно. Помогите, пожалуйста, закрыть. Спасибо.
15.10.2007, 10:13
V_Bond

выполните скрипт....
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
15.10.2007, 12:51
Botsman

Сделал. Огромное спасибо за помощь еще раз. Не ожидал найти такой сервис, когда нашел, честно говоря, не особо верилось, что помогут, да еще и быстро. Благодарю.
22.02.2009, 02:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]