Доброго дня, что то цыпанул
Спам сыпется, причем исходящий, Аваст не справился
При перезагрузке компьютера файрволл всегда выключен
Printable View
Доброго дня, что то цыпанул
Спам сыпется, причем исходящий, Аваст не справился
При перезагрузке компьютера файрволл всегда выключен
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\DOCUME~1\ALEX\LOCALS~1\Temp\~~install.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Utw74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qpe43.sys','');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\truecrypt.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\baseniqsc32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Qpe43.sys');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Utw74.sys');
DeleteFile('C:\DOCUME~1\ALEX\LOCALS~1\Temp\~~install.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
BC_DeleteSvc('msupdate');
BC_DeleteSvc('ICF');
BC_DeleteSvc('Qpe43');
BC_DeleteSvc('Utw74');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
Потом ещё один[CODE]function _DecHex( Dc : Integer) : String;
begin Result := Copy('0123456789abcdef',Dc+1,1); end;
function DecHex( Dec : Integer) : String;
var Di,D1,D2 : integer;
begin
Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
end;
procedure ParseString (S : TStringList; SS : String; SSS : String );
var i,l : integer;
begin
i := Pos(SSS,SS); l := Length(ss);
If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
end;
var SL,SF : TStringList; SS, SSS : String; i : integer;
begin
SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
ParseString (SL,SS,' ');
for i := 0 to SL.Count - 1 do Begin
SS := SL[i];
If Pos('ServerDll=base',SS) > 0 Then Begin
If SS <> 'ServerDll=basesrv,1' Then Begin
AddToLog('Infected "SubSystem" value : ' + SS);
if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin
SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
end;
end;
end;
SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
If SSS <> '' Then Begin
i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
AddToLog('Infection name : ' + SSS + '.dll');
SetAVZGuardStatus(True);
If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
SF.Add('REGEDIT4'); SF.Add('');
SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
SSS := '"Windows"=hex(2):';
for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
SSS := SSS + '00'; SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
SaveLog(GetAVZDirectory + 'SubSystems.log');
RebootWindows(false);
end;
SL.Free; SF.Free;
End.
[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll[/CODE]
Загрузите карантин согласно приложению №3 правил. Повторите логи.
Все сделал
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Qpe43\0000', 'CSConfigFlags', '1');
BC_DeleteSvc('Qpe43');
BC_DeleteSvc('ICF');
BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Qpe43.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]Повторите логи.
Готово
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачать[/URL] C:\WINDOWS\system32\WLCtrl32.dll ,C:\WINDOWS\System32\drivers\Ouq83.sys - force delete
затем выполните скрипт .... авз
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Ouq83.sys');
DelWinlogonNotifyByFileName('WLCtrl32.dll');
BC_DeleteSvc('Ouq83');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
Скачал этот меч. Удалил. Скрипты выполнил
Логи:
Выполните скрипт:
[code]
begin
DelWinlogonNotifyByKeyname( 'WLCtrl32');
BC_DeleteSvc('Qpe43');
BC_DeleteSvc('Ouq83');
BC_DeleteSvc('ICF');
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите логи, начиная с п.10 правил.
Готово
Странно, ключ в Winlogon Notify удалился, а в драйверах - все на месте!
Сделаем так: Пуск - Выполнить - [b]cmd[/b].
В окне командной строки введите след. команды:
[b]sc delete Qpe43
sc delete Ouq83
sc delete ICF[/b]
и повторите два последних лога.
Есть
Отлично. Больше ничего плохого не видно.
Рекомендуется отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Ничего из этого не надо. А что - уже живой??
В логах чисто, есть какие то жалобы?
Для уязвимостей
[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
Спасибо. Жалоб вроде пока нет. Есть неясность: на MY COMPUTER висит какой то WEB FOLDERS - я их там не вешал и до этих траблов там не видел. Что это?
Побочный эффект :)
[code]begin
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
end.[/code]
Огромное спасибо
Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\alex\\doctorweb\\quarantine\\nt7532.exe - [B]Hoax.Win32.Renos.awn[/B] (DrWEB: Trojan.Fakealert)[*] c:\\windows\\system32\\baseniqsc32.dll - [B]Trojan.Win32.Agent.fxk[/B][*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.alr[/B] (DrWEB: Trojan.Packed.424)[*] c:\\windows\\system32\\wlctrl32.dll - [B]Trojan-Downloader.Win32.Agent.kif[/B] (DrWEB: Trojan.DownLoader.50037)[/LIST][/LIST]