Здраствуйте. Сегодня скорее всего подцепил троян. Тк была взломана icq и некоторые ЭПС. Прошу помочь
Printable View
Здраствуйте. Сегодня скорее всего подцепил троян. Тк была взломана icq и некоторые ЭПС. Прошу помочь
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\D1XFVXJV\shift[1].exe','');
QuarantineFile('C:\WINDOWS\system32\shift.exe.exe','');
QuarantineFile('C:\WINDOWS\system32\msindeo.dll','');
QuarantineFile('c:\windows\system32\vhosts.exe','');
QuarantineFile('c:\documents and settings\deco90\Рабочий стол\clip2net.exe','');
DeleteFile('c:\windows\system32\vhosts.exe');
DeleteFile('C:\WINDOWS\system32\msindeo.dll');
DeleteFile('C:\WINDOWS\system32\shift.exe.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\D1XFVXJV\shift[1].exe');
DeleteService('msupdate');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
O21 - SSODL: msindeo.dll - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll[/CODE]
Загрузите карантин согласно приложению №3 правил. Повторите логи.
Ваш антивирус не обеспечивает должного уровня защиты. Если есть возможность, используйте один из [url=http://virusinfo.info/showthread.php?t=1550]рекомендованных нами продуктов[/url].
2.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]function _DecHex( Dc : Integer) : String;
begin Result := Copy('0123456789abcdef',Dc+1,1); end;
function DecHex( Dec : Integer) : String;
var Di,D1,D2 : integer;
begin
Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
end;
procedure ParseString (S : TStringList; SS : String; SSS : String );
var i,l : integer;
begin
i := Pos(SSS,SS); l := Length(ss);
If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
end;
var SL,SF : TStringList; SS, SSS : String; i : integer;
begin
SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
ParseString (SL,SS,' ');
for i := 0 to SL.Count - 1 do Begin
SS := SL[i];
If Pos('ServerDll=base',SS) > 0 Then Begin
If SS <> 'ServerDll=basesrv,1' Then Begin
AddToLog('Infected "SubSystem" value : ' + SS);
if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin
SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
end;
end;
end;
SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
If SSS <> '' Then Begin
i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
AddToLog('Infection name : ' + SSS + '.dll');
SetAVZGuardStatus(True);
If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
SF.Add('REGEDIT4'); SF.Add('');
SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
SSS := '"Windows"=hex(2):';
for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
SSS := SSS + '00'; SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
SaveLog(GetAVZDirectory + 'SubSystems.log');
RebootWindows(false);
end;
SL.Free; SF.Free;
End.[/CODE]
Прикрепите также к сообщению SubSystems.log из папки AVZ.
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Также поищите при помjob AVZ [b]srvany.exe[/b] и пришлите по правилам
Файл закачал, логи...
[SIZE=1][COLOR=#666686][/COLOR][/SIZE][quote]Также поищите при помощи AVZ [B]srvany.exe[/B] и пришлите по правилам[/quote]
Как это сделать?
srvany.exe - это часть Microsoft Resource-Kit ...
а у вас я так понимаю ранее стоял крек на сп 1 ... и этот сервис остался запущен ...
если я не прав .... искать так авз - сервис - поск файлов на диске -
Можно не искать. Вам знаком c:\documents and settings\deco90\Рабочий стол\clip2net.exe ?
[quote=Maxim;186018]Можно не искать. Вам знаком c:\documents and settings\deco90\Рабочий стол\clip2net.exe ?[/quote]
Да это программа с помощью которой я делаю скрины.
тогда вопросов больше нет .... какие-то проблемы остались ?
Нет спасибо....
Были:
[b]Email-Worm.Win32.Zhelatin.rn[/b]
Свежие:
[b]Trojan-Spy.Win32.Goldun.wc,
Trojan-Downloader.Win32.Small.iij[/b]
Пришла пора менять пароли, скорее всего они ушли на сторону.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\d1xfvxjv\\shift[1].exe - [B]Email-Worm.Win32.Zhelatin.rn[/B] (DrWEB: Trojan.Spambot.2559)[*] c:\\windows\\system32\\msindeo.dll - [B]Trojan-Spy.Win32.Goldun.wc[/B] (DrWEB: Trojan.PWS.GoldSpy)[*] c:\\windows\\system32\\shift.exe.exe - [B]Email-Worm.Win32.Zhelatin.rn[/B] (DrWEB: Trojan.Spambot.2559)[*] c:\\windows\\system32\\vhosts.exe - [B]Trojan-Downloader.Win32.Small.iij[/B] (DrWEB: BackDoor.Dax)[/LIST][/LIST]