Trojan.WIN32.BHO.abo

Printable View

08.02.2008, 09:51
Natalie

Вложений: 3

Trojan.WIN32.BHO.abo

Здравствуйте все!

При попытке зайти в сетевое окружение загружается интернет-браузер и открывает порно-сайты. NOD32 ничего не нашел, CureIT нашел Downloader, при повторной загрузке не нашел ничего. AVZ выдал подозрение на сабж. Помогите, пожалуйста, выковырять эту заразу.
08.02.2008, 09:55
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\httpap.dll','');
DeleteFile('C:\WINDOWS\system32\httpap.dll');
DelBHO('{2942550C-0A80-4246-94A6-B5C0CA4E964C}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=17728[/url]).
Обновите базы AVZ и сделайте новые логи.
08.02.2008, 12:57
Natalie

Вложений: 3

Готово.
08.02.2008, 13:03
Bratez

В логах чисто.
Можно пофиксить строчку:
[code]O18 - Protocol: csnet - {FF3EFE67-7569-11D2-9F80-00104B107C97} - C:\Program Files\Consistent Software\NormaCS 1.0 Demo Client\pph_demo_net.dll (file missing)
[/code]

Посмотрите, нужно ли вам что-либо из этого:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Лишнее отключим.
08.02.2008, 13:45
Natalie

Первое пофиксила.
Из второго можно оставить только доступ анонимного пользователя и автозапуск с CDROM.
08.02.2008, 13:47
Bratez

Вот скрипт для отключения ненужного:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.[/code]
Надеюсь, проблем больше нет?
08.02.2008, 13:50
Natalie

Проблемы исчезли. :-) Спасибо.
22.02.2009, 03:52
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\httpap.dll - [B]Rootkit.Win32.Podnuha.y[/B] (DrWEB: Trojan.DownLoader.37561)[/LIST][/LIST]