заражение компьютера

Printable View

28.07.2009, 17:43
2fast4U

заражение компьютера

Проверка компьютера KAV7 не помогает, периодически IE просит то отладку то просто какие то ошибки сыпятся
Логи снял.

P/s Компьютер конечно как решето win xp SP1, IE6, службы лишние не выключены все конечно исправлю хочется сначала вылечить компьютер.
P/P/S AVZ запускал с флешки а когда принес домой KAV обнаружил на ней " троянская программа Rootkit.Win32.Small.ut" и придушил.
28.07.2009, 18:09
DefesT

[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]!!!

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в [U]Hijackthis[/U]:[CODE]R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: C:\WINDOWS\System32\jdgf8edfsde.dll - {c5af49a2-94f3-42bd-f434-3604812c897d} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{F14BC068-287B-41CB-9989-0F07546D688E}: NameServer = 85.255.114.195,85.255.112.96
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.195 85.255.112.96
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.195 85.255.112.96
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.114.195 85.255.112.96
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.195 85.255.112.96
O20 - Winlogon Notify: winctrl32 - C:\WINDOWS\[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в [U]AVZ[/U]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('c:\Temp\csrssc.exe','');
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\f6ba6540.sys','');
QuarantineFile('C:\WINDOWS\System32\msvcrt57.dll','');
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DelCLSID('E6FB5E20-DE35-11CF-9C87-00AA005127ED');
DeleteFile('C:\WINDOWS\System32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('c:\Temp\csrssc.exe');
DeleteFile('C:\Documents and Settings\1\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\autorun.exe');
BC_ImportALL
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(17);
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Очистите временные папки интернета.
Сделайте новые логи по правилам.
[QUOTE]>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Заблокированы настройки системы System Restore
>> Проводник - заблокирован доступ к свойствам папки[/QUOTE]
Исправить в AVZ - Файл- Мастер поиска и устранения проблем
[QUOTE]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/QUOTE]
Система у Вас вся дырявая. Надо SP3 ставить, а то заразу не остановить.
29.07.2009, 09:52
2fast4U

Пофиксил и установил SP3, новые логи

Обновил IE до версии 7.0.570.13

Гляньте вчерашние логи или подскажите где можно почитать литературу чтобы самому анализировать ситуацию по логам.
30.07.2009, 11:10
Rene-gad

[QUOTE=2fast4U;439477]Обновил IE до версии 7.0.570.13[/QUOTE]Установите IE 8
[QUOTE=2fast4U;439477]
подскажите где можно почитать литературу чтобы самому анализировать ситуацию по логам.[/QUOTE][url]www.z-oleg.com[/url] или запишитесь в Студенты тут [url]http://virusinfo.info/profile.php?do=editusergroups[/url]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
CleaqQuarantine;
StopService('f6ba6540');
QuarantineFile('c:\Temp\on4v0L95.sys','');
DeleteFile('c:\Temp\on4v0L95.sys');
DeleteFile('C:\WINDOWS\System32\drivers\f6ba6540.sys');
DeleteService('f6ba6540');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('f6ba6540');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
31.07.2009, 11:10
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\microsoft common\svchost.exe - [B]Rootkit.Win32.Small.ut[/B] ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Trojan.CryptRedol.Gen.1 )[*] c:\windows\system32\msvcrt57.dll - [B]Trojan-PSW.Win32.WebMoner.ih[/B] ( DrWEB: Trojan.DownLoad.5244 )[*] f:\autorun.exe - [B]Rootkit.Win32.Small.ut[/B] ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Trojan.CryptRedol.Gen.1 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]