Printable View
Доброго времени суток!
Возникла проблема. Периодически выскакивало окно "Windows Security Alert", которое периодически привязывалось к разным процессам (printer.exe, csrss.exe). После проверки Dr.Web (был найден и удален Trojan.Fakealert.357 и Trojan.StartPage.1505 в нескольких местах) окно перестало вылазить. Права администратора ограничены до сих пор.
Помогите вернуть управление системой.
Высылаю логи...
Пофиксите в HijackThis:
[code]
O20 - AppInit_DLLs: sulimo.dat
[/code]
Выполните скрипт в AVZ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('sulimo.dat','');
DeleteFile('sulimo.dat');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.[/code]
Что за программка Clicker? Если точно не уверены в ее безопасности, пришлите по правилам файл C:\Program Files\Clicker\Clicker.exe.
Обратите внимание на эти строки из вашего лога:
[code]
Файл успешно помещен в карантин (C:\Documents and Settings\FreD\Мои документы\Заработок\rsetup.exe)
C:\Documents and Settings\FreD\Мои документы\Заработок\rsetup.exe >>>>> Trojan-PSW.Win32.WebMoner.x успешно удален
Файл успешно помещен в карантин (C:\Program Files\RusIP Transfer System\rusip.exe)
C:\Program Files\RusIP Transfer System\rusip.exe >>>>> Trojan-PSW.Win32.WebMoner.x успешно удален
[/code]
Это был троян, ворующий пароли WebMoney - надо сменить.
Файл (clicker.exe) был найден в директории c:\document...\.housecall6.6\Quarantine\Clicker.exe.bac_a03760. Выслать файл?
Права администратора вернулись.
Высылаю новые логи...
Файлик вышлите
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Логи чистые, что Вам из этого не нужно?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Файл выслал.
Файл сохранён как 071111_094058_virus_4737228a30da2.zip
Размер файла 853231
MD5 871638cf909f6d581bc4725272eca3ed
Что не нужно?
Я даже не знаю...
Точно не нужно:
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
А что за эти службы я не знаю.
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
Службы терминалов (Terminal Services)
Данная служба предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах. Является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов.
Служба обнаружения SSDP (SSDP Discovery Service)
Включает обнаружение UPnP-устройств в домашней сети.
И это тоже не нужно:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
[code]
begin
SetServiceStart('Schedule', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RebootWindows(true);
end.
[/code]
Выполнил
[size="1"][color="#666686"][B][I]Добавлено через 30 секунд[/I][/B][/color][/size]
Что дальше?
Файлик чистый - проблемы остались?
Вроде нет!
Спасибо!
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]