Win32.HLLM.Perf

Printable View

24.05.2007, 09:55
Rogoff

Win32.HLLM.Perf

Пока еще сам не научился технологии вылавливания пакости, прошу снова помощи.
24.05.2007, 10:26
drongo

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\wc98pp.dll','');
QuarantineFile('C:\WINNT\System32\iuctl.dll','');
QuarantineFile('C:\PROGRA~1\GISMET~1\GISMET~1.DLL','');
QuarantineFile('C:\WINNT\system32\qwe0486.dll','');
QuarantineFile('C:\WINNT\2_0_1browserhelper2.dll','');
QuarantineFile('C:\WINNT\twaintec.dll','');
QuarantineFile('C:\WINNT\system32\nwiz.exe','');
QuarantineFile('\SystemRoot\system32\ckldrv.sys','');
QuarantineFile('C:\WINNT\system32\msr2ca.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
QuarantineFile('C:\WINNT\csrss.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=9974[/url]
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]
R3 - URLSearchHook: MraSearch Class - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - C:\WINNT\SYSTEM\mraSearch.dll (file missing)
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll (file missing)
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINNT\2_0_1browserhelper2.dll (file missing)
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717177650486} - C:\WINNT\system32\qwe0486.dll (file missing)
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.terra.es/personal9/eroplis/rd/chm/files.chm::/file.exe
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\Documents and Settings\Anton\Local Settings\Temp\EI40_\msxml4.cab
O20 - AppInit_DLLs: C:\WINNT\system32\msr2ca.dll
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)
[/code]

Каспер больно ругается на одну строчку, даже в текстовом формате.
24.05.2007, 10:37
Rogoff

Ошибка: Not enough actual parameters в позиции 14:16

нашел ошибку по аналогии с другими строками.
24.05.2007, 10:43
Shu_b

[QUOTE=Rogoff;111690]Ошибка: Not enough actual parameters в позиции 14:16[/QUOTE]

исправлено
24.05.2007, 11:08
Rogoff

скрипт выполнил, строки пофиксил, но при выполнении hijack выдал ошибку.

Новые логи делать? Карантин засылать?
24.05.2007, 11:23
Макcим

[quote]Новые логи делать? Карантин засылать?[/quote]Мой коллега Вам дал все необходимые инструкции.
24.05.2007, 11:46
Rogoff

:) да ,заметил, первый пост изменился. По правилам нужно засылать запрошенные файлы. Их список я так понимаю беру из скрипта?

Файл сохранён как 070524_114303_virus_465542071e9bc.zip
Размер файла 2121713
MD58ed9a95e5c16c02fd19ec76becc87a35
24.05.2007, 11:53
Макcим

[quote]Их список я так понимаю беру из скрипта?[/quote][b]Скрипт нужно было выполнить![/b]
24.05.2007, 12:00
Rogoff

[quote=MaXim;111731][B]Скрипт нужно было выполнить![/B][/quote]

см. 5 сообщение. все выполнено. делаю еще раз.
24.05.2007, 12:04
Макcим

[quote]делаю еще раз.[/quote]Не надо! Я думал Вы вместо скрипта вручную копировали эти файлы.
24.05.2007, 12:24
Rogoff

[quote=MaXim;111738]Не надо! Я думал Вы вместо скрипта вручную копировали эти файлы.[/quote]

Так, а я скрипт снова выполнил. Значит засылать ничего пока не буду. Жду дальнейших указаний :)
24.05.2007, 16:27
Bratez

У вас был [B]Email-Worm.Win32.Scano[/B] и [B]Trojan-Proxy.Win32.Xorpix.u[/B].
Часть работы уже сделала AVZ при создании логов.
Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\csrss.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
DeleteFile('C:\WINNT\system32\msr2ca.dll');
DeleteFile('C:\WINNT\system32\qwe0486.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте новые логи.
25.05.2007, 04:31
Rogoff

скрипт выполнил, логи прикрепил. Проверить систему антивирусом?
25.05.2007, 05:17
Bratez

Нормально, только одного мы пропустили...

1. Выполните скрипт в AVZ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\Mstray.exe');
BC_DeleteFile('C:\WINNT\Mstray.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

2. Пофиксите в HijackThis (второй строки может и не быть):
[code]
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717177650486} - C:\WINNT\system32\qwe0486.dll (file missing)
O4 - HKLM\..\Run: [RavTimeXP] C:\WINNT\Mstray.exe
[/code]

3. Дополнительные рекомендации:

Насколько я понимаю, программа PC-cillin 2000 от Trend Micro у вас когда-то стояла, а теперь ее нет, но в списке служб она так и болтается. Для удаления выполните скрипт:
[code]
begin
BC_DeleteSvc('Tmntsrv');
BC_Activate;
RebootWindows(true);
end.[/code]
и после перезагрузки удалите папку C:\Program Files\Trend Micro.
Также рекомендую пересмотреть список системных служб, многое можно было бы отключить для повышения безопасности и улучшения производительности, например это:
[code]
O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - C:\WINNT\system32\faxsvc.exe
O23 - Service: Служба сообщений (Messenger) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - C:\WINNT\system32\MSTask.exe
O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINNT\system32\tlntsvr.exe
[/code]
а если локальная сеть не используется для доступа к ресурсам других компьютеров (или других к вашему), то еще и это:
[code]
O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
[/code]

4. После всех манипуляций сделайте новые логи, начиная с п.10 правил.
25.05.2007, 12:20
Rogoff

скрипты выполнил, логи прилагаю
25.05.2007, 12:39
Bratez

Очень хорошо. В логах больше ничего подозрительного нет.