В логах показывает "модификация машинного кода"

Printable View

24.10.2007, 13:27
Gordon Shumway

Вложений: 1

В логах показывает "модификация машинного кода"

Добрый день!
Была проблема с заражением троянами, был постоянный исходящий трафик на 25 порту. С помощью avz были выявлены трояны и вроде бы вылечены, по крайней мере паразитный трафик прекратился.
Но ноут периодически уходит в перезагрузку с появлением на пару секунд синего экрана. В логах avz присутствуют две следующие строчки:
Функция NtEnumerateKey (47) - модификация машинного кода. Метод JmpTo. jmp F835CF4EFfbb34.sys
Функция NtOpenKey (77) - модификация машинного кода. Метод JmpTo. jmp F835CCBAFfbb34.sys

К сожалению, не получается выполнить все предписания по проверке, т.к. при выполнении первого скрипта, ноут уходит в перезагрузку с синим экраном.

Можно ли как-то это исправить?
Заранее спасибо.
24.10.2007, 13:46
PavelA

Грузиться в безопасном и делать логи из него.
24.10.2007, 14:24
Gordon Shumway

Вложений: 3

Просканировал из безопасного режима, но вышеуказанных срок этом режиме уже нет.
Логи прилагаю.
24.10.2007, 15:18
PavelA

Выполнить скрипт в безопасном режиме:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\windres.exe','');
QuarantineFile('Ffbb34.sys','');
BC_DeleteFile('Ffbb34.sys');
BC_DeleteFile('C:\WINDOWS\system32\windres.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Прислать карантин.

Сделать новые логи в обычном режиме.
24.10.2007, 16:13
Gordon Shumway

Вложений: 3

Карантин выслал.
Выполнить скрипты в обычном режиме снова не удалось, т.к. уходит в перезагрузку с синим экраном. Сделал в безопасном режиме.
24.10.2007, 16:22
PavelA

Профиксить hijackthis:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\windres.exe,[/CODE]

Выполнить в защищенном:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINDOWS\system32\drivers\Ffbb34.sys');
BC_DeleteFile('C:\WINDOWS\system32\windres.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать лог из п.8.
24.10.2007, 16:52
Gordon Shumway

Вложений: 1

Все выполнил.
24.10.2007, 17:06
Bratez

Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Попробуйте теперь сделать все логи в нормальном режиме.
24.10.2007, 17:14
PavelA

В карантин ничего не попало.
24.10.2007, 17:35
Gordon Shumway

Вложений: 3

Логи из обычного режима. Кажется, все стало чисто!
24.10.2007, 18:00
PavelA

Выполнить скрипт:
[CODE]begin
BC_DeleteSvc('ICF');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Там еще в "Планировщике" задание от Симантека болтается. Он используется? Если нет, то задание удалить.
24.10.2007, 19:01
Gordon Shumway

Все сделал.

Bratez
PavelA

Спасибо огромное!
24.10.2007, 19:43
PavelA

Повтори лог Hijackthis.

Дырки надо зыкрывать:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Можем помочь скриптом, только укажи что используется.
25.10.2007, 14:59
Gordon Shumway

Вложений: 1

Планировщик не нужен, автозапуск с CD тоже,
[I]NetMeeting Remote Desktop Sharing[/I] - я даже не знаю что это :)

[I]Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)[/I] - этим вроде тоже не пользуюсь.

Про все остальное даже не знаю толком что это :embarasse
25.10.2007, 15:59
Bratez

Вот скрипт для отключения ненужного:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.[/code]
* Если компьютер в локальной сети с использованием общего доступа к файлам и принтерам, то уберите из скрипта первую строчку после begin.
22.02.2009, 02:42
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]