Последствия Backdoor'а, помогите дочисть систему

Printable View

16.09.2009, 19:34
vinibee

Последствия Backdoor'а, помогите дочисть систему

Добрый день!

1. На компьютере с помощью AVP Tool был выловлен и удален Backdoor. Конкретного названия, пародон, назвть не смогу, кликнул "удалить" очень быстро.

2. После этого в оснастке "Службы" были замечены продублированные службы, например: "Локатор удаленного вызова процедур (RPC)" и "Локатор удаленного вызова процедур (RPC) RpcLocatorEventSystem". Первая запускала, как и должно быть C:\WINDOWS\System32\locator.exe, вторая - некий файл с названием svr, без расширения. То же самое делали и все остальные "левые" службы.

3. Все такие "левые" службы я отключил. Из списка процессов исчез некий Cimage.exe.

Но остались подазрения на то, что до конца система не вылечена.

Файлы прилагаются, заранее большое спасибо!
16.09.2009, 21:15
AndreyKa

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\abjue');
DeleteService('Winpt61');
BC_DeleteSvc('Winpt61');
DeleteService('Themeslanmanserver');
DeleteService('SymantecCOMSysApp');
DeleteService('SNDSrvcsfrem01');
DeleteService('ShellHWDetectionwscsvc');
DeleteService('RpcLocatorEventSystem');
DeleteService('ProtectedStorageUPS');
DeleteService('PmlUMWdf');
DeleteService('NtmsSvcW32Time');
DeleteService('NetDDEWmdmPmSN');
DeleteService('NetDDENetDDE');
DeleteService('NetDDEdsdmPolicyAgent');
DeleteService('MSDTCMessenger');
DeleteService('LiveUpdateMessenger');
DeleteService('helpsvcPlugPlay');
DeleteService('dmserverSpooler');
ExecuteRepair(1);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
17.09.2009, 10:37
vinibee

Готово! Лог прилагается.
17.09.2009, 11:00
AndreyKa

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
BC_DeleteSvc('Themeslanmanserver');
BC_DeleteSvc('SymantecCOMSysApp');
BC_DeleteSvc('SNDSrvcsfrem01');
BC_DeleteSvc('ShellHWDetectionwscsvc');
BC_DeleteSvc('RpcLocatorEventSystem');
BC_DeleteSvc('ProtectedStorageUPS');
BC_DeleteSvc('PmlUMWdf');
BC_DeleteSvc('NtmsSvcW32Time');
BC_DeleteSvc('NetDDEWmdmPmSN');
BC_DeleteSvc('NetDDENetDDE');
BC_DeleteSvc('NetDDEdsdmPolicyAgent');
BC_DeleteSvc('MSDTCMessenger');
BC_DeleteSvc('LiveUpdateMessenger');
BC_DeleteSvc('helpsvcPlugPlay');
BC_DeleteSvc('dmserverSpooler');
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Какие-либо проблемы есть?
17.09.2009, 11:25
vinibee

Особых проблем не наблюдается. Правда, еще после первого сканирования Касперским перестал запускаться iTunes. Сейчас попробую его переустановить. Лог прилагается.

Спасибо!
17.09.2009, 11:37
AndreyKa

В логе нет ничего подозрительного.
Проведите процедуру, описанную в первом сообщении тут: [url]http://virusinfo.info/showthread.php?t=3519[/url]
17.09.2009, 12:08
vinibee

Выполнено.

Еще раз спасибо за помощь!