руткиты и трояны, как избавится?

Printable View

Показывать 40 сообщений этой темы на одной странице

14.12.2007, 14:06
hexm

Вложений: 3

руткиты и трояны, как избавится?

Здравствуйте.
Завелась дрянь, от которой не могу избавится. При сканировании NOD'ом и CureIT'ом[COLOR=Black] находит трояны и руткиты, но удалить их не могут.[/COLOR]
14.12.2007, 14:17
Bratez

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O20 - Winlogon Notify: abc32reg - C:\Documents and Settings\All Users\Документы\Settings\abc32.dll (file missing)
O20 - Winlogon Notify: botreg - C:\WINDOWS\
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\winlogon.scr','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\newmaxxsv234.exe','');
QuarantineFile('C:\WINDOWS\system32\kernelwind32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\system.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\winmain.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ntoss.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ntosnh.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Djr53.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\asc3550p.sys','');
QuarantineFile('C:\lich.exe','');
QuarantineFile('C:\WINDOWS\system32\msxmqhs.dll','');
DeleteFile('C:\lich.exe');
DeleteFile('C:\WINDOWS\system32\drivers\asc3550p.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Djr53.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ntosnh.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ntoss.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll');
DeleteFile('C:\Documents and Settings\LocalService\winmain.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\system.exe');
DeleteFile('C:\WINDOWS\system32\kernelwind32.exe');
DeleteFile('C:\WINDOWS\system32\newmaxxsv234.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_QrSvc('FCI');
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
14.12.2007, 15:33
hexm

Вложений: 3

карантин отправил
14.12.2007, 15:54
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\Temporary Internet Files\Content.IE5\WUDNCM83\a8f5a020e4b833865a1034489887c8b9[1].zip');
DeleteFile('C:\Documents and Settings\catchme.zip');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\WINDOWS\system32\msxmqhs.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пофиксите в HijackThis, если останется:
[code]
O20 - Winlogon Notify: kerberos4 - C:\WINDOWS\SYSTEM32\msxmqhs.dll[/code]
Посмотрите, нужно ли вам что-то из этого:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Лишнее отключим.

Очистите временные файлы IE через Свойства обозревателя.
14.12.2007, 16:37
hexm

[quote=Bratez;160510]
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
Лишнее отключим.[/quote]
Это нужно

[quote]
Очистите временные файлы IE через Свойства обозревателя.[/quote]Сделал.

Большое спасибо!
14.12.2007, 16:46
rubin

Если я правильно все понял - остальное не нужно?
[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.[/code]
14.12.2007, 16:47
Bratez

[skip]

Если не трудно, сделайте финальный комплект логов для контроля.
14.12.2007, 18:00
hexm

Вложений: 3

финальный комплект
14.12.2007, 18:07
rubin

Уже новое появилось.... Называется "антивируса не обнаружено"
Выполните:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\WinAble\winable.exe','');
QuarantineFile('C:\WINDOWS\noskrnl.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\noskrnl.exe');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Карантин пришлите...
14.12.2007, 18:16
V_Bond

пофиксите ...
[code]
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe
O4 - HKCU\..\Run: [noskrnl] C:\WINDOWS\noskrnl.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\winlogon.scr','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\Program Files\WinAble\winable.exe','');
QuarantineFile('C:\WINDOWS\noskrnl.exe','');
QuarantineFile('c:\windows\system32\vedxg6ame4.exe','');
DeleteFile('c:\windows\system32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\noskrnl.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
14.12.2007, 18:24
hexm

[quote=rubin;160609]Карантин пришлите...[/quote]
отправил

[size="1"][color="#666686"][B][I]Добавлено через 34 секунды[/I][/B][/color][/size]

[quote=V_Bond;160612]пришлите карантин согласно приложения 3 правил ...[/quote]
Сейчас сделаю
14.12.2007, 18:29
rubin

Поищите вручную через AVZ winable.exe и пришлите файлик по правилам
14.12.2007, 18:40
hexm

2V_Bond
Скрипт выполнил. карантин пуст
14.12.2007, 18:45
V_Bond

winlogon.scr - очень интересен ...
14.12.2007, 19:14
hexm

ни winable.exe ни winlogon.scr AVZ не нашел
14.12.2007, 19:16
rubin

Тогда давайте еще раз логи посмотрим :xmas:
14.12.2007, 20:52
hexm

Вложений: 3

еще раз логи...
14.12.2007, 20:56
V_Bond

логи нужны не в safe mode
14.12.2007, 20:57
hexm

уфф... ща
15.12.2007, 23:07
hexm

Вложений: 3

Здравствуйте.
Вчера не получилось залить логи на форум.

Показывать 40 сообщений этой темы на одной странице