Подозрение на сетевой червь

Printable View

24.05.2010, 22:25
vergere

Подозрение на сетевой червь

Процесс [B]svchost.exe[/B] постоянно грузится из интернета по адресу [B]cds163.ams9.msecn.net:http.[/B] Интернет через локальную сеть. Windows XP SP3, недавно переустановлен. Критические обновления поставил. Предыдущая винда была инфицирована несколькими вирями, в т ч Win32 HLLW Lime 18 и Win32 Palevo aa....
Что-то с инсталлятором: с диска D не устанавливаются проги, хотя с флешки идут. Никак не устанавливается никакой MS Office, пишет, что не может получить доступ к защищенным файлам Windows. В доступе и разрешениях вроде все нормально.
Было подозрение на Kido, но Kidokiller ничего не нашел. DrWeb Cureit тоже ничего не нашел. MBAM ругался на 4 записи реестра:

"Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp "
Записи удалил.

GMER тоже нашел записи реестра. AVZ и HJT тоже что-то понаходили, логи прилагаю -[B]проверьте, пожалуйста, логи[/B].
Логи MBAM, GMER и RSIT могу вставить при необходимости.
24.05.2010, 22:34
polword

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://virusinfo.info/pravila_old.html"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('wscsvc');
RegKeyStrParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wscsvc', 'ImagePath', GetEnvironmentVariable('SystemRoot')+'\System32\svchost.exe -k netsvcs');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
24.05.2010, 23:37
vergere

Карантин отправил. Логи прилагаю.
25.05.2010, 07:04
polword

выполните такой скрипт
[CODE]var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wscsvc исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'log.txt');
end.[/CODE]

файл log.txt прикрепите к сообщению
25.05.2010, 13:26
vergere

Выполнил. Прикрепляю.
25.05.2010, 13:39
polword

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
25.05.2010, 16:00
vergere

MBAM нашел несколько файлов на диске D, но это все крэки и чит-коды. Лог прилагаю.
25.05.2010, 16:57
polword

лучше от них избавиться

[size="1"][color="#666686"][B][I]Добавлено через 48 секунд[/I][/B][/color][/size]

еще что-нибудь беспокоит?
25.05.2010, 18:11
vergere

Спасибо.

Осталась проблема:
[QUOTE=vergere;643115]Что-то с инсталлятором: с диска D не устанавливаются проги, хотя с флешки идут. Никак не устанавливается никакой MS Office, пишет, что [B]не может получить доступ к защищенным файлам Windows[/B]. В доступе и разрешениях вроде все нормально.
[/QUOTE]
Мне говорили, что побиты инсталляторы, надо их заново устанавливать. Если это так, подскажите пожалуйста, как это сделать.

И еще: при загрузке Windows антивирус запускается в "отключенном" режиме, приходится вручную включать защиту. (Microsoft Security Essentials)
25.05.2010, 19:24
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
25.05.2010, 20:43
vergere

Скрипт выполнил. Лог прилагаю. Проблема не исчезла.
26.05.2010, 20:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]