-
Вложений: 3
Последствия заражения
Приветствую, уважаемые форумчане!
Машина моя была заражена всем, что только придумано с безобидного строительного портала, не смотря на установленный Каспер 7, после "лечения" на автомате возникла куча проблем, в частности оперативка загружена постоянно на 50% минимум, плюс покалечились системные файлы до такой степени, что винда прекратила функционировать полностью, с трудом, но я ее заставил работать, но проблемы еще видимо есть.
Систему я протестировал по инструкции и прикрепляю логи. Посмотрите, пожалуйста, результаты тестирования и подскажите что мне делать?
Заранее благодарен, Vik.
-
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelWinlogonNotifyByFileName('ovrscn.dll');
DelBHO('00000010-6F7D-442C-93E3-4A4827C2E4C8');
DelBHO('CFBFAE00-17A6-11D0-99CB-00C04FD64497');
QuarantineFile('C:\WINDOWS\nem220.dll','');
QuarantineFile('C:\WINDOWS\ljusg.exe','');
QuarantineFile('ovrscn.dll','');
QuarantineFile('C:\Program Files\Internet Optimizer\optimize.exe','');
QuarantineFile('C:\EARTHC~1.SCR','');
DeleteFile('C:\Program Files\Internet Optimizer\optimize.exe');
DeleteFile('ovrscn.dll');
DeleteFile('C:\WINDOWS\ljusg.exe');
DeleteFile('C:\WINDOWS\nem220.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=15479[/url]
2. Повторите логи
-
Спасибо, принято, выполняю.
-
Вложений: 3
Все, что сказали, сделал. Карантин и новые логи готовы.
-
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: Instant Update Reminder.lnk = ?
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm119YYRU
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\
[/code]
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('runtime2');
BC_Activate;
RebootWindows(true);
end.[/code]
Посмотрите, нужно ли вам что-то из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Alerter (Alerter)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
[/code]
Лишнее отключим.
-
Все выполнил, кроме:
Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service) - т.к. связано с фотоаппаратом.
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
В результате имеем:
многократные попытки доступа к машине из сети, блокируемые ZoneAlarm,
оперативка загружена на 50% min, т.е. 512 мегов непонятно чем заняты.
-
Что мне делать? Я в растерянности...
-
-
Вложений: 3
-
[quote]многократные попытки доступа к машине из сети, блокируемые ZoneAlarm,[/quote]
Раз из сети, то здесь от вашего компьютера ничего не зависит. ZoneAlarm блокирует - хорошо. Лечить надо другие компьютеры в сети.
[quote]оперативка загружена на 50% min, т.е. 512 мегов непонятно чем заняты.[/quote]
У вас внушительный список процессов и драйверов, imho неудивительно. Возможно кое-что следовало бы удалить или хотя бы убрать из автозапуска?
В логах ничего подозрительного не нашел...
-
[quote=Bratez;163262]Раз из сети, то здесь от вашего компьютера ничего не зависит. ZoneAlarm блокирует - хорошо. Лечить надо другие компьютеры в сети.
У вас внушительный список процессов и драйверов, imho неудивительно. Возможно кое-что следовало бы удалить или хотя бы убрать из автозапуска?
В логах ничего подозрительного не нашел...[/quote]
Про другие компьютеры понятно, я просто думал, вдруг у меня есть явная уязвимость, привлекающая внимание, но если все ок, то буду пытаться защищаться.
С процессами и драйверами сложнее, ситуация с загрузкой возникла после заражения и я никак не могу вычислить виновника. Драйвера я потихоньку переустанавливаю на последние версии, а вот процессы боюсь важные сгоряча покоцать...
В любом случае, спасибо всем огромное за помощь!
-
симатек удалить, версия старая - а программа защиты должна быть последней версии, да и я бы симантек не ставил , на вкус и цвет товарища нет ;)
Прибамбасы от logitec можно отключить.
-
[quote=drongo;163303]симатек удалить, версия старая - а программа защиты должна быть последней версии, да и я бы симантек не ставил , на вкус и цвет товарища нет ;)
Прибамбасы от logitec можно отключить.[/quote]
Спасибо за совет!
Прибамбасы от Логитек это монитор на клавиатуре.
А какой антизверь ставить? Каспер? С ним у меня и случились проблемы, не смотря на последнюю версию и ежечасное обновление... Доктор Веб? Как быть?
-
[QUOTE]А какой антизверь ставить? Каспер? С ним у меня и случились проблемы, не смотря на последнюю версию и ежечасное обновление... Доктор Веб? Как быть?[/QUOTE]
Прочтите [URL="http://security-advisory.newmail.ru/EBook.htm"]эту книгу[/URL], не один 100% защиты не гарантирует, [URL="http://virusinfo.info/showthread.php?t=1550"]вот страница с рекомендуемыми антивирусами[/URL], у них процент пропускания меньше.
-
[quote=zerocorporated;163309]Прочтите [URL="http://security-advisory.newmail.ru/EBook.htm"]эту книгу[/URL], не один 100% защиты не гарантирует, [URL="http://virusinfo.info/showthread.php?t=1550"]вот страница с рекомендуемыми антивирусами[/URL], у них процент пропускания меньше.[/quote]
Да читал я это все, и еще очень много всего на эту тему перечитал, но все равно очень обибно иметь зараженную машину с поломанной системой при использовании вроде как одной и лучших защитных систем...
Но всеже я вернусь наверное к Касперу, тем более лицензия оплачена на год и буду надеяться на лучшее.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 2 минуты[/I][/B][/color][/size]
[quote=drongo;163303]симатек удалить, версия старая - а программа защиты должна быть последней версии, да и я бы симантек не ставил , на вкус и цвет товарища нет ;)
Прибамбасы от logitec можно отключить.[/quote]
Банальная ситуация, не удаляется симантек,ничего не могу с ним сделать :dash1:
-
[url]http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2005033108162039[/url]
-
[quote=V_Bond;163325][URL]http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2005033108162039[/URL][/quote]
Спасибо, но у меня интересная версия симантека без ключа, но не ломаная... Поэтому мне помог установочный диск.
P.S. И снова все не как у людей:
1 симантек снес;
2 каспер установил, но не работает половина служб, в частности:
- сбой инициализации файлового антивируса;
- сбой проверки трафика почтовым антивирусом;
- сбой проверки http трафика веб антивирусом;
- сбой в работе проактивной защиты.
В результате можно сказать, что Каспер не работает вообще.
Попробую снести ZoneAlarm и попробовать переинсталировать Каспер. Или не стОит?
[size="1"][color="#666686"][B][I]Добавлено через 28 минут[/I][/B][/color][/size]
Снос ZoneAlarm помог, выходит они с Каспером принципиально не совместимы.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 12 минут[/I][/B][/color][/size]
Есть информация, с каким фаерволом Каспер не конфликтует? Покупать КИС? Или есть что-нибудь бесплатное?
-
Sunbelt Kerio Personal Firewall
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]
Page generated in 0.00531 seconds with 10 queries