Много чего уже было убито (startdrv, msupdate и др.). А вот с подменой iexplore никак не справиться :(.
Printable View
Много чего уже было убито (startdrv, msupdate и др.). А вот с подменой iexplore никак не справиться :(.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\winlogon.scr','');
BC_ImportQuarantineList;
BC_QrFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_QrSvc('runtime');
BC_QrSvc('runtime2');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_Activate;
RebootWindows(true);
end.
[/code]
[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]
После перезагрузки выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\rasmoesa.dll','');
QuarantineFile('C:\WINDOWS\system32\winlogon.scr','');
QuarantineFile('C:\WINDOWS\System32\ati2paag.dll','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
DeleteFile('C:\WINDOWS\system32\rasmoesa.dll');
DeleteFile('C:\WINDOWS\system32\winlogon.scr');
DeleteFile('C:\WINDOWS\System32\ati2paag.dll');
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
Пофиксите в HiJackThis, что останется:
[code]
O2 - BHO: Flash Module - {C87FA4A3-2474-4a3f-B413-67D515905024} - rasmoesa.dll (file missing)
O20 - Winlogon Notify: ati2paag - ati2paag.dll (file missing)
O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
[/code]
Потом пришлите итоговый карантин и логи
Отправил карантин, который получился до fix.
Готовлю логи после fix.
Карантины пустые, ждем логи
Вроде бы чисто?..
Пофиксите:
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
[/code]
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
Опять пришлите карантин и повторите логи
выполните скрипт...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\C:\WINDOWS\system32\nvsvc32.exe ','');
BC_ImportQuarantineList;
BC_QrSvc('NVSvc');
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
Отправил архивы карантина, полученные после каждого из скриптов.
nvsvc32.exe - попробуйте поискать через авз - сервис-поиск файлов на диске ...
если найдется пришлите по правилам ....
Потом повторите логи для проверки
через авз не получилось -- почему-то не скопировался в карантин.
Отправил с паролем virus
присланный файл чистый ...
такой красивый путь
C:\WINDOWS\C:\WINDOWS\system32\
оставим на совести hijackthis ....
повторите лог hijackthis
Прошу прощения, вчера уже не было сил на продолжение...
Про nvsvc32.exe: совесть hijackthis чиста, в реестре путь был прописан \SystemRoot\C:\WINDOWS\system32\nvsvc32.exe
Возможно это последствия моей вчерашней борьбы до обращения к Вам.
Поправил. После перезагрузки пусть остался в исправленном состоянии.
Приложенный лог hijackthis сделан ДО правки.
Нужно разобратся с этим:
[CODE]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/CODE]
Что из этого нужно ?
В общем-то ничего из этого не нужно.
То что относится к службам, выставлен тип запуска Вручную.
Защититься на будущее -- конечно важно, рекомендации выполню. Но хотелось бы знать: сейчас по логам все чисто?
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
[/code]
Это остановит службы
[size="1"][color="#666686"][B][I]Добавлено через 53 секунды[/I][/B][/color][/size]
Логи чистые
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]