Здравствуйте, моя проблема: при подключении интернета идет постоянная закачка неизвестно чего, странные процессы занимающие много оперативной памяти mmall2.exe и mmbin.exe.
Printable View
Здравствуйте, моя проблема: при подключении интернета идет постоянная закачка неизвестно чего, странные процессы занимающие много оперативной памяти mmall2.exe и mmbin.exe.
Выполните скрипт в AVZ:
[code]begin
BC_QrSvc('runtime');
BC_QrSvc('runtime2');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteFile('D:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('D:\WINDOWS\System32\drivers\runtime.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки еще один:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\System32\windres.exe','');
QuarantineFile('D:\WINDOWS\System32\codeblocks.exe','');
QuarantineFile('D:\DOCUME~1\NEO\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('D:\WINDOWS\mmall2.exe','');
DeleteFile('D:\WINDOWS\mmall2.exe');
DeleteFile('D:\DOCUME~1\NEO\LOCALS~1\Temp\winlogon.exe');
DeleteFile('D:\WINDOWS\System32\codeblocks.exe');
DeleteFile('D:\WINDOWS\System32\windres.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
карантин прислал.
логи:
В карантине только mmall2.exe - [b]Trojan-Downloader.Win32.Agent.feg[/b]
Пофиксите в HijackThis:
[code]
F3 - REG:win.ini: run=D:\WINDOWS\mmall2.exe
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\System32\windres.exe,D:\WINDOWS\System32\codeblocks.exe,
O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [Microsoft all2] D:\WINDOWS\mmall2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Microsoft all2] D:\WINDOWS\mmall2.exe
O4 - HKCU\..\Run: [Firewall auto setup] D:\DOCUME~1\NEO\LOCALS~1\Temp\winlogon.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите лог HijackThis.
Нужно скачать winsockxpfix, пока не запускать. Запомнить/записать настройки локальной сети.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('D:\WINDOWS\System32\t0.dll','');
DeleteFile('D:\WINDOWS\System32\t0.dll');
BC_DeleteFile('D:\WINDOWS\System32\t0.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Запустить winsockxpfix, нажать "fix". Компьютер будет тупить, но после перезагрузки и заведения параметров сети заново все наладится.
Если что-то попадет в карантин, то прислать.
Сделать новые логи.
Следует отключить все, что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
[/code]
(это потом, в конце лечения).
Карантин выслал. новые логи сделал. жду дальнейших указаний
Выполняйте указания Bratez из №6. В логах ничего вредного не вижу.
В логах чисто. Если проблем больше нет, осталось выполнить профилактические мероприятия, а именно:
1. Срочно исправить вот это:
[quote]
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/quote]
т.е. поставить SP2 + последующие обновления.
2. См. сообщение #6: скажите что нужно, остальное отключим скриптом.
Впринципе всякие оповещатели и службы сообщений мне вообще никчему, компьютер домашний и кроме выхода в инет мне всякие финтифлюшки ненужны, тем более если они небезопасны... винду переставлю в ближайшее время. И ещё: сможет ли др.Веб сейчас обеспечить мне безопасность от повтора такого недоразумения?
этот скрипт закрывает все уязвимости ....
[code]
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
насчет антивируса .... в вашем случае виноват не он, на вашей дырявой системе не справится ни один ... обновляйтесь ...
Всем большое спасибо! :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\windows\\mmall2.exe - [B]Trojan-Downloader.Win32.Agent.feg[/B] (DrWEB: Trojan.DownLoader.36532)[/LIST][/LIST]