Подозрение на RootKit svchost.exe

Printable View

24.01.2008, 12:54
erie

Вложений: 2

Подозрение на RootKit svchost.exe

Помогите вылечить, периодически появляется окно командной строки.
drweb не запускается
24.01.2008, 13:12
PavelA

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\o.pif','');
QuarantineFile('C:\Documents and Settings\Boss.UPACKHLEB\Рабочий стол\msdos.pif','');
QuarantineFile('C:\WINNT\System32\svchost.exe','');
QuarantineFile('c:\winnt\system32\mspi.exe','');
QuarantineFile('C:\netsend.bat','');
QuarantineFile('C:\aaaxcopy.bat','');
QuarantineFile('C:\WINNT\System32\drivers\SIODRV.SYS','');
QuarantineFile('C:\WINNT\System32\drivers\iSMBIOS.SYS','');
QuarantineFile('c:\winnt\system32\msvk32.dll','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Загрузить весь карантин. -> [url]http://virusinfo.info/upload_virus.php?tid=16922[/url]
24.01.2008, 13:17
drongo

на всякий случай добавил несколько , а что с hijackthis?
24.01.2008, 14:11
erie

хотел редактированием первого поста вставить лог от hijackthis - не получается, говорит что недостаточно каких то прав ????
24.01.2008, 14:24
PavelA

Вставляй новым сообщением, ничего страшного.
24.01.2008, 14:35
erie

Вложений: 1

hijackthis logs,
карантин AVZ отправил, но при выполнении скрипта в него не попал svchost.exe
24.01.2008, 14:50
PavelA

[QUOTE]C:\Documents and Settings\Boss.UPACKHLEB\Рабочий стол\msdos.pif,'C:\WINNT\o.pif',c:\winnt\system32\mspi.exe,c:\winnt\system32\msvk32.dll Worm.Win32.Feebs.mx (по Касперскому)[/QUOTE]

Будем удалять.
Скрипт для удаления:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_DeleteFile('C:\Documents and Settings\Boss.UPACKHLEB\Рабочий стол\msdos.pif');
BC_DeleteFile('C:\WINNT\o.pif');
BC_DeleteFile('c:\winnt\system32\mspi.exe');
BC_DeleteFile('c:\winnt\system32\msvk32.dll');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать после него все логи снова.
24.01.2008, 16:02
erie

Вложений: 3

Симтомы остались :'-(
24.01.2008, 16:16
drongo

1.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]O21 - SSODL: msvk32.dll - {5CDAAC71-D4E7-DEA7-4EDB-337CCC50D830} - c:\winnt\system32\msvk32.dll[/code]
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\winnt\system32\msvk32.dll');
DeleteFile('c:\winnt\system32\mspi.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(12);
RebootWindows(true);
end.[/code]
Сделать новые логи, и смотрите какие файлы присоединяете, хотелось бы долечить ;)
24.01.2008, 16:35
erie

Вложений: 1

:D Больному лучше :D
Спасибо !!!
24.01.2008, 16:48
Bratez

Удаление прошло успешно.

Посмотрите, нужно ли вам что-то из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Лишнее отключим.

DrWeb видимо придется переустановить.
24.01.2008, 17:09
erie

Всем спасибо за помощь !!!
с остальным разберусь
24.01.2008, 17:18
drongo

дрвеб надо по моему переставить на последнею версию с сайта разработчика, какие-то траблы с дровами :)

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] позволяет делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!
22.02.2009, 03:38
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\boss.upackhleb\\рабочий стол\\msdos.pif - [B]Worm.Win32.Feebs.mw[/B] (DrWEB: Win32.HLLM.Graz)[*] c:\\winnt\\o.pif - [B]Worm.Win32.Feebs.mw[/B] (DrWEB: Win32.HLLM.Graz)[*] c:\\winnt\\system32\\mspi.exe - [B]Worm.Win32.Feebs.mx[/B] (DrWEB: Win32.HLLM.Limar.2278)[*] c:\\winnt\\system32\\msvk32.dll - [B]Worm.Win32.Feebs.mx[/B] (DrWEB: Win32.HLLM.Graz.based)[/LIST][/LIST]