Здравствуйте.
Прошу помощи по уже несколько раз описаной ниже ситуации.
Printable View
Здравствуйте.
Прошу помощи по уже несколько раз описаной ниже ситуации.
[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem220.dll (file missing)
O2 - BHO: (no name) - {0d2def3a-f4f1-42ec-ac4f-132e7ba6e292} - (no file)
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll (file missing)
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem303.dll (file missing)
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - (no file)
O3 - Toolbar: (no name) - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - (no file)
O9 - Extra button: (no name) - DctMapping - (no file)
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} -
O18 - Protocol: ayb - (no CLSID) - (no file)
O20 - Winlogon Notify: alcopt - C:\WINNT\SYSTEM32\alcopt.dll
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\System32\alcop.sys','');
QuarantineFile('C:\WINNT\System32\alcopt.dll','');
DeleteFile('C:\WINNT\System32\alcopt.dll');
DeleteFile('C:\WINNT\System32\alcop.sys');
BC_ImportALL;
BC_DeleteSvc('alcop');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=18622[/url]).
Сделайте новые логи.
Подскажите, как отключить "восстановление системы" в Win2000?
... и нужно ли это делать вообще, ведь в правилах в скобках точно указаны операционные системы?
Пардон, для Win2000 действительно это не предусмотрено :)
...Благодарю за внимание к моему вопросу. Карантин закачан.
В логах чисто. Только пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O18 - Protocol: ayb - (no CLSID) - (no file)
O20 - Winlogon Notify: alcopt - alcopt.dll (file missing)
[/code]
Рекомендуется отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Спасибо за помощь. Симптомы заражения исчезли. Надеюсь на нормальную работу.
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 39 минут[/I][/B][/color][/size]
Прошу совета. После проведенного лечения обнаружилась потеря авторизованного доступа к некоторым партнерским сайтам. После ввода логина и пароля они зависают в глубокой задумчивости. Может ли быть какая-то связь или это результаты заражения?
[size="1"][color="#666686"][B][I]Добавлено через 1 час 6 минут[/I][/B][/color][/size]
Установка альтернативного браузера сняла проблему. Firefox все загружает нормально, IE - висит и ничего не хочет делать.
Internet Explorer v6.00 SP1
А если установить более новую версию?
Что порекомендуете для Win2000? Есть мнение, что IE 7.0 не подойдет.
Почему бы не попробовать альтернативный браузер? Firefox, Opera, например.
Попробовал. Сейчас использую Firefox. Проблем пока нет. Думаю, что какие-то проблемы с настройками безопасности IE.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\winnt\\system32\\alcopt.dll - [B]Backdoor.Win32.Agent.eqn[/B] (DrWEB: Trojan.PWS.GoldSpy)[/LIST][/LIST]