Printable View
Здравствуйте!
Последние дни наблюдается какая-то ерунда и заторможенность компьютера. Время от времени появляется откуда-то в процессах EXPLORER.exe.
Он-лайн сканирование касперского показало присутствие следующих зверей:
Trojan.Win32.Dialer.wl
Trojan.Win32.Inject.ib
Trojan-PSW.Win32.LdPinch.ckg
not-a-virus:AdWare.Win32.BHO.ic
Я решил не рисковать и провериться в вашем профессиональном сервисе. Файлы прилагаются. Спасибо!
Пинч - придется менять пароли...
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\PartyGaming\PartyPoker\RunApp.exe','');
QuarantineFile('C:\Poker\Titan Poker\casino.exe','');
QuarantineFile('C:\WINDOWS\winlogon32.exe','');
QuarantineFile('C:\WINDOWS\servc32.dll','');
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
QuarantineFile('C:\WINDOWS\syss_.exe','');
DeleteFile('C:\WINDOWS\syss_.exe');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
DeleteFile('C:\WINDOWS\servc32.dll');
DeleteFile('C:\WINDOWS\winlogon32.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
Пофиксьте
[code]
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll
O4 - HKLM\..\Policies\Explorer\Run: [Service] C:\WINDOWS\winlogon32.exe
[/code]
Пришлите карантин по п.3 Правил и повторите логи
Скрипт выполнил. Пофиксил первую строчку.
А этой строчки у меня нет: O4 - HKLM\..\Policies\Explorer\Run: [Service] C:\WINDOWS\winlogon32.exe
Попытался отправить карантин, но при нажатии на кнопку "обзор" для выбора пути к файлу ничего не происходит. Причем на обоих страницах - на моей и на запасной.
Нет строки - это хорошо... попробуйте прислать карантин через другой браузер
Отослал карантин. Просто первый раз видимо что-то глюкануло. Кстати, я видел в логах, что сканер подозревает клиенты PartyPoker, Titan и Expekt. Все это покерные клиенты, в этих программах изначально предусмотрены шпионы, чтобы следить за действиями игрока во время игры. Поэтому с ними ничего делать не надо.
Повторные логи пришлю уже завтра, сегодня поздновато.
[b]Trojan-Downloader.Win32.Centim.ao[/b] C:\Program Files\Time Sync\time.exe
[b]Trojan.Win32.Inject.ib[/b] C:\WINDOWS\servc32.dll
[b]Trojan.Win32.Inject.ib[/b] C:\WINDOWS\syss_.exe
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Time Sync\time.exe','');
DeleteFile('C:\Program Files\Time Sync\time.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
Затем повторите логи
Повторные логи
Пофиксьте:
[code]
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
[/code]
Остались ли проблемы?
Что из этого Вам не нужно?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Вроде бы проблем нет. Все нормально.
Из всего перечисленного мне нужно только это: >> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) - это разве проблема, что админ имеет доступ. Или я что-то не понял.
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) - мой Outlook Express при старте запускает клиент NetMeeting, видимо без него не работает. Если удаление этой службы не повредит запуску почтовика, то она тоже не нужна.
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
Это административный доступ не с локального компьютера, а из локальной сети к вашему компьютеру
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Как я помню, это не отключение Net Meeting, а запрет доступа к рабочему столу через эту службу... В-общем скрипт отключения всего, кроме автозапуска с CDROM:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('TermService', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('mnmsrvc', 4);
RebootWindows(true);
end.
[/code]
Выполнил. Спасибо! Проблем не наблюдается. Чувствую себя защищенным как никогда :)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\connectionservices\\connectionservices.dll - [B]Trojan.Win32.ConnectionServices.m[/B] (DrWEB: Trojan.BitAcc)[*] c:\\program files\\time sync\\time.exe - [B]Trojan-Downloader.Win32.Centim.ao[/B] (DrWEB: Trojan.DownLoader.4491)[*] c:\\windows\\servc32.dll - [B]Trojan.Win32.Inject.ib[/B] (DrWEB: Trojan.Inject.494)[*] c:\\windows\\syss_.exe - [B]HEUR:Trojan.Win32.Generic[/B] (DrWEB: Trojan.Inject.494)[/LIST][/LIST]