Подозрение на червя

Printable View

16.12.2007, 00:56
Venom4eG

Вложений: 3

Подозрение на червя

Недавно сменил себе антивирус, установил Аваст...при полной проверке системы он нашел около 60 троянов, и удалил их. Вчера Аваст стал находить в корне дисков C: и D: файлы autorun. Спустя какое-то время после удаления/перемещения в карантин он опять сигнализирует об обнаружении этих файлов. При перезагрузке системы иногда вылетает сообщение о сбое запуска какого то приложения в папке system32. Полная проверка системы Авастом ничего не дает...проверил систему при помощи он-лайн сканера Panda, нашел 67 троянов, удалил...через пару минут опять проверил, опять найдено 67 троянов...к тому же не могу сделать видимыми скрытые файлы и папки...:sad:
P.S. GSI виснет при попытке собрать StartUp link objects....
16.12.2007, 03:06
Bratez

Обязательно отключите восстановление системы! Затем выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\Windows\RUNXMLPL.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_QrSvc('sewfxcu');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

Возможно, окажется полезной эта информация:
[url]http://virusinfo.info/showthread.php?t=8877[/url].

Сделайте новые логи.
16.12.2007, 11:23
Venom4eG

Вложений: 3

К счастью все диски открываются нормально, вот новые логи сканирования
16.12.2007, 11:40
V_Bond

выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\mailKmd.sys','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил....

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

в карантине были ...
C:\WINDOWS\system32\amvo1.dll TR/Crypt.NSPM.Gen
C:\WINDOWS\system32\amvo.exe TR/Crypt.NSPM.Gen
C:\Windows\RUNXMLPL.exe чистый ....
поискать и удалить все n1deiect.com
16.12.2007, 11:52
Venom4eG

Карантин выслал...скрытые файлы и папки стали отображаться))) хорошо, сейчас найду и уничтожу ))
Нашел три файла с n1deiect.com в названии....лежали в windows/Prefetch
16.12.2007, 12:08
V_Bond

mailKmd.sys поищите при помощите при помощи avz - сервис -поиск файлов на диске .... если найдется пришлите по правилам ...
16.12.2007, 12:21
Venom4eG

Поиск ничего не дал
16.12.2007, 12:26
V_Bond

тогда осталось разобраться с этим ...
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
16.12.2007, 12:29
Venom4eG

Какие следует отключить?
16.12.2007, 12:31
rubin

Компьютер домашний\рабочий? Локальная сеть имеется?
16.12.2007, 12:39
Venom4eG

Полудомашний-полурабочий ноутбук, сеть есть :rolleyes:
16.12.2007, 12:43
V_Bond

тогда такой скрипт ....
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
[/code]
16.12.2007, 13:04
Venom4eG

Все сделал
16.12.2007, 13:07
rubin

Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!
16.12.2007, 13:29
Venom4eG

Спасибо! И последние два вопроса:
1) Как вся эта зараза смогла обойти антивирус?
2) Я подключал к ноутбуку флешку и смартфон, как проверить их на наличее этой заразы?
16.12.2007, 13:30
rubin

1. Антивирус не панацея, каким бы он не был
2. Обновите базы антивируса, подключите флешку\смартфон к ПК, открываете "Мой компьютер", правой кнопкой по съемному носителю - Проверить на вирусы (или что-то подобное, не помню как у Аваста)...
16.12.2007, 13:38
Venom4eG

Еще раз спасибо! )
22.02.2009, 03:10
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Worm.Win32.AutoRun.asb[/B] (DrWEB: Win32.HLLW.Autoruner.1019)[*] c:\\windows\\system32\\amvo.exe - [B]Trojan-GameThief.Win32.OnLineGames.kxk[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] c:\\windows\\system32\\amvo1.dll - [B]Trojan-GameThief.Win32.OnLineGames.kxk[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] d:\\autorun.inf - [B]Worm.Win32.AutoRun.asb[/B] (DrWEB: Win32.HLLW.Autoruner.1019)[/LIST][/LIST]