Обнаружен trojan-spy(keylogger), rootkit agent. Трояна вроде удалила, руткит не могу - и не запускается диспетчер(пишет, что отключен админом), не меняеся фон раб. стола. Помогите пожалуйста! заранее спасибо!
Printable View
Обнаружен trojan-spy(keylogger), rootkit agent. Трояна вроде удалила, руткит не могу - и не запускается диспетчер(пишет, что отключен админом), не меняеся фон раб. стола. Помогите пожалуйста! заранее спасибо!
Вложение
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ldr.exe,C:\WINDOWS\system32\idaw64.exe,C:\WINDOWS\system32\codeblocks.exe,
O2 - BHO: BhoApp Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\WINDOWS\system32\bho.dll (file missing)
O4 - HKLM\..\Run: [System32] C:\WINDOWS\system32\frmwrk.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\windll32.exe internet.dll,LoadNetworkProfile
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\D19D~1\LOCALS~1\Temp\winlogon.exe
[/code]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\bho.dll','');
QuarantineFile('C:\WINDOWS\system32\windll32.exe','');
QuarantineFile('C:\WINDOWS\system32\codeblocks.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\ldr.exe','');
QuarantineFile('C:\WINDOWS\system32\idaw64.exe','');
QuarantineFile('C:\DOCUME~1\D19D~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\frmwrk.exe','');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
DeleteFile('C:\WINDOWS\system32\frmwrk.exe');
DeleteFile('C:\WINDOWS\system32\windll32.exe');
DeleteFile('C:\DOCUME~1\D19D~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\bho.dll');
BC_ImportAll;
BC_DeleteSvc('FCI') ;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
Пришлите карантин и повторите логи
Как описано в приложении 3 Правил
Карантин есть?
Карантин есть, но там ничего интересного.
Сделайте в AVZ: Файл - Восстановление системы - отметить п.5, 6, 8, 11 - Выполнить. И давайте новые логи.
C:\Program Files\Autodesk\Inventor 10\SDK\Samples\VB\Standalone Applications\ApprenticeServer\AssemblyTree\Assembly Tree.exe
C:\Program Files\Autodesk\Inventor 10\SDK\Samples\VB\Standalone Applications\Inventor\iPart\UpdateiPartMem.exe
Только они попали в карантин, вроде чистые... повторите логи
Так. я щас отправляю логи по запросу Рубина в 16.30.
После этого делать восстановление 56811 и новые логи по запросу Братца?
Простите пожалуйста - не могу понять чьи указания делать... Да и логи долго делаются- вы успеваете еще попросить..:).Глаза разбегаются!
Надо было все действия сделать, потом логи ;)
Ну да ладно. Сделайте восстановление, как я писал, и сообщите, есть ли положительный эффект.
По последним присланным Вами логам...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Consistent Software\NormaCS 1.0\pph.dll','');
BC_ImportQuarantineList;
BC_QrFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
BC_QrSvc('FCI');
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.
[/code]
Положительный эффект после восстановления ЕСТЬ! Дисп заработал, но только нас фоном проблемы -картинку выбрать дает,(раньше всё было неактивно), но на рабочем столе пусто. А этот руткит СЕЙЧАС не отсылает ли мои скриншоты и др. инфу в инет? Я этого боюсь и пароли жалко.
После выполнения последнего скрипта пришлите пожалуйста карантин.
Сейчас лог делается. Пришлю карантин одновременно с логами
После скрипта.Каринтин послала
меня уже с работы выгоняют. Можно ли завтра продолжить? Спасибо
.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
В логах ничего зловредного не просматривается.
Что из этого вам нужно?остальное поправим
[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/QUOTE]
Добрый День!
Мне надо, чтобы всё работало. Я могу эти службы запускать "вручную", если понадобится. Это поможет? ПК в ЛВС.
[size="1"][color="#666686"][B][I]Добавлено через 39 минут[/I][/B][/color][/size]
RemoteRegistry (Удаленный реестр) выкл, вручную
TermService (Службы терминалов) работает(не выключается вообще -неактивно), отключено
SSDPSRV (Служба обнаружения SSDP) раб, вручн.
Messenger (Служба сообщений) работает, авто.
Schedule (Планировщик заданий) раб, вручн.
mnmsrvc (NetMeeting Remote Desktop Sharing) откл, вручную,
RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) откл, вручную,
В таком состоянии сейчас у меня службы. Что неверно(если есть?).
И еще вопрос, Как узнать, отсылает ли руткит данные ?
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 20 минут[/I][/B][/color][/size]
И еще вопрос, Как узнать, отсылает ли руткит данные ?
Руткита уже нет, ничего отсылаться не должно.
только сейчас заметила!!! В моем компьютере появилась папка Веб-папки/мои узлы сети МСН, просит пароль и логин. Вчера этого г.. не было!!!!!Что это такое?
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Посоветуйте файервол попроще и что-нибудь для учета своего трафика, пожалуйста.
И еще. Нужно ли мне включить восстановление системы обратно?
заранее спасибо!
Учет траффика - TrafficMeter
Фаерволлы - ZoneAlarm, Agnitum Outpost или комплексные решения - антивирус + фаерволл (например KIS 7.0)