Подозрение на вирус.

Printable View

08.09.2009, 12:23
ArRiad

Вложений: 3

Подозрение на вирус.

Здравствуйте. Рабочий компьютер подключается к сервису на сайте через Java-приложение. Последнее время компания, предоставляющая этот сервис, постоянно предупреждает нас о наличии вирусов на нашей машине. На машине установлен DrWeb. Обновляем каждый день. Вирусов не обнаруживает. Сделал логи AVZ и HijackThis согласно правилам.
Посмотрите, пожалуйста.

Спасибо.
08.09.2009, 12:57
Numb

Здравствуйте.
Заражение, как минимум, было.
Пофиксите с помощью Hijackthis строчки:[code]O20 - Winlogon Notify: atiddaxx - atiddaxx.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)[/code]
Программа AVZ - файл - выполнить скрипт - выполните скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\.#\MBX@60C@1373348.###','');
QuarantineFile('C:\WINDOWS\System32\Drivers\bhM84.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\bhM84.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\bhM84.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys');
BC_DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys');
DeleteFile('C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\.#\MBX@60C@1373348.###');
BC_DeleteFile('C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\.#\MBX@60C@1373348.###');
DeleteService('bhM84');
DeleteService('sywtdxaz');
DeleteService('protect');
BC_DeleteSvc('bhM84');
BC_DeleteSvc('sywtdxaz');
BC_DeleteSvc('protect');
BC_Importquarantinelist;
BC_Activate;
ExecuteSysClean;
clearhostsfile;
RebootWindows(true);
end.[/code] После перезагрузки, карантин AVZ загрузите по ссылке в шапке темы, как написано в прил.3 правил, и повторите логи.
В дополнение: обновите Java RE - [url]http://www.java.com/ru/download/index.jsp[/url] - и проверьте настройки сетевого подключения. Вы, как я понимаю, из Питера, а адреса DNS в настройках указаны украинские.
08.09.2009, 14:38
ArRiad

Вложений: 3

Строчки пофиксил, скрипт выполнил, карантин загрузил, логи сделал, по указанной ссылке Java RE обновил.
Но вот как проверить настройки сетевого подключения не знаю.
[QUOTE]Вы, как я понимаю, из Питера, а адреса DNS в настройках указаны украинские.[/QUOTE]Да, я из Питера. В адресах и настройках DNS не разбираюсь.
Подскажите, пожалуйста, про адреса и про настройки сетевого подключения. Что с ними делать?

Спасибо.
08.09.2009, 16:36
Numb

Панель управления - сетевые подключения - подключение по локальной сети - свойства - выбрать "Протокол Интернета (TCP/IP)" - свойства - дополнительно - в закладке "DNS" удалите имеющиеся там адреса, добавьте адреса DNS вашего интернет-провайдера ( на сайте Quantuma указаны адреса 213.170.64.33, 213.170.65.33 , но лучше уточнить в службе технической поддержки). [b]Не выполняйте правку, не уточнив адреса DNS вашего интернет-провайдера - в случае указания неверных адресов останетесь без доступа в Интернет[/b]
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
RebootWindows(true);
end.[/code] После перезагрузки, повторите лог Hijackthis и лог исследования системы.
09.09.2009, 11:15
ArRiad

Вложений: 2

Адреса удалил/добавил, скрипт выполнил, логи сделал.
Интернет не пропал.
09.09.2009, 12:40
light59

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.122 85.255.112.83
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.122 85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.122 85.255.112.83
[/CODE]
В случае, если пропадёт интернет, то в настройках пропишите адреса DNS вашего провайдера. Интернет вряд ли пропадёт, но я должен был предупредить.

Что с проблемами?
09.09.2009, 13:49
ArRiad

Пофиксил. Интернет не пропал.

[QUOTE]Что с проблемами?[/QUOTE]Как я понял, сбои в работе нашего Java-приложения, о которых предупреждал поставщик услуг, возникли из-за невозможности обновить Java-машину. Последние были вызваны наличием хвостов зловредов и/или неправильными настройками DNS.
Сейчас хвосты удалены и настройки исправлены. Java обновляется нормально.
Полагаю, проблема решена.

Спасибо за помощь.
09.09.2009, 14:58
Numb

В дополнение ко всему: у вас [code]Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)[/code] Уже имеется в наличии SP3 для Windows XP и IE8 . Крайне рекомендуется обновить систему или, хотя бы, установить все доступные через службу автоматического обновления заплатки для SP2. [b]После установки SP3 может потребоваться повторная активация Windows[/b].
10.09.2009, 14:58
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]