Ситуация ухудшилась. Я заблокировал административные права и она стала хуже.
Printable View
Ситуация ухудшилась. Я заблокировал административные права и она стала хуже.
Дамы и Господа, единственное, что всем, что ниже надо пользоваться очень аккуратно - не навредить бы. Я сумел решить, то, что отмечено, указанными способами. Использовал программы AVZ, GMAR, CC, ну и CureIt.
БЕСПОКОЙСТВО (все рекомендации я делал в безопасном режиме после чистки компа в безопасном режиме DrWeb (ом) по полной с удалением всего и без сетевых подключений + без внешних устройств (хотя последнее, наверное, не важно)) :
1) почему ошибки обмена с драйверами? - ответ типа -сбой AVZ из-за конфликтов (т.е. [COLOR=red]отаета нет[/COLOR])
2) Что за маскирующий процесс USB устройств (в процессе удаления cfdrive32 через консоль восстановления, я увидел равный ему по РАЗМЕРУ файл , который назывался brunin03.dll. Этот dll от принтера Brother, но у меня были основания подозревать его в подмене. Я снес Brother и загрузил обновление (еще не восстановил). Я вынес этот файл на Рабстол, переименовал и сообщение о маскировке драйвера пропало. Поскольку я еще ковырялся в службах, то точно сказать не могу от этого или нет, но очень похоже на то. Файл у других может быть любым другим, но скорее всего cfdrive32 клонирует себя под файлы системы. + verifier(ом) через командную строку вернуть исходный параметры драйверу, который стоит в конце строки (в моем случае это был USBPORT.SYS)
3) Как это все исправить? ([COLOR=red]овета нет[/COLOR] только по 2-му вопросу)
4) Как убрать подозрения на маскировку ключей драйверов? (есть рекомендации (в т.ч. и от Олега Зайцева), которые я сделал и эта проблема ушла [URL]http://kadets.info/showthread.php?t=64594[/URL]. Осталось только вручную из консоли восстановления убить инициирующий dll.)
5) Как убрать все потенциальные уязвимости? (Рекомендации по службам есть в [URL]http://www.hardforum.ru/t21131/[/URL], рекомендаций по устранению проблем безопасности, кроме прямой работы с политиками, не нашел)
6) Почему отсутствует адрес
[B]HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\USB, [/B]на который ссылаетс MS поддержка для решения пробем с контроллерами USB (у меня она есть). - [COLOR=red]ответа нет[/COLOR] - да собственно он и не нужен. Контроллер USB устройства, FDD и CD/ROM не работали потому, что... в момент проверки компа Касперским я вынул из USB внешний диск. При это касперский подменяет ссылку в реестре HKEY_LOCAL_MACHINE в разделе Class устройств, вставляя ключ UpperLimit = kltltdev.sys, который не имеет к этому отношения. Другой драйвер (уже системный) встал на параметр LowerLimit. Это сбой проги Касперского, который описан только в США (на английском) и они похоже ничего так и не обезопасили. НАДО - В реестре, в классах устройств удалить последовательно все метки с драйвером вставшим некорректно. [COLOR="Red"][B]ТОЛЬКО АККУРАТНО, СВЕРЯЙТЕ КАЖДЫЙ ШАГ СО СПРАВКОЙ ИЗ ИНТЕРНЕРТА, А ТО СНЕСЕТЕ НЕ ТО И ВОССТАНАВЛИВАЙ РЕЕСТР (ЕСТЬ UpperLimit. КОТОРЫЕ СНОСИТЬ НЕЛЬЗЯ - они должны быть.[/B][/COLOR]. Ссылка на профессиональные рекомендации (черт, потерял ссылку, в поисковике на "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{36FC9E60-C465-11CF-8056-444553540000}" - там надо разбираться).
СПАСИБО ЗА ТО. ЧТО НЕ БРОСИЛИ и ЗА ВРЕМЯ, КОТОРОЕ БЫЛИ СО МНОЙ (Я всегда знал,что Вы тут). Собственно, см. следующее сообщение от МИДНАЙТ.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
[B]- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление. [/B]
В AVZ выполните скрипт:
[code]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\centoc~1\locals~1\temp\48405.exe');
TerminateProcessByName('c:\docume~1\centoc~1\locals~1\temp\0113.exe');
QuarantineFile('C:\DOCUME~1\CENTOC~1\LOCALS~1\Temp\645.exe,C:\RECYCLER\S-1-5-21-1743651231-1980221262-205905753-7438\syscr.exe,explorer.exe,C:\Documents and Settings\CentoCapital\Application Data\ltzqai.exe,Explorer.exe','');
DeleteService('rgupordwb');
QuarantineFile('C:\WINDOWS\system32\042.tmp','');
DeleteService('kahpcx');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
QuarantineFile('c:\docume~1\centoc~1\locals~1\temp\48405.exe','');
QuarantineFile('c:\docume~1\centoc~1\locals~1\temp\0113.exe','');
DeleteFile('c:\docume~1\centoc~1\locals~1\temp\0113.exe');
DeleteFile('c:\docume~1\centoc~1\locals~1\temp\48405.exe');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFile('C:\WINDOWS\system32\042.tmp');
BC_DeleteSvc('rgupordwb');
BC_DeleteSvc('kahpcx');
DeleteFile('C:\DOCUME~1\CENTOC~1\LOCALS~1\Temp\645.exe,C:\RECYCLER\S-1-5-21-1743651231-1980221262-205905753-7438\syscr.exe,explorer.exe,C:\Documents and Settings\CentoCapital\Application Data\ltzqai.exe,Explorer.exe');
DeleteFile('C:\DOCUME~1\CENTOC~1\LOCALS~1\Temp\645.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1743651231-1980221262-205905753-7438\syscr.exe');
DeleteFile('C:\Documents and Settings\CentoCapital\Application Data\ltzqai.exe');
DeleteFileMask('C:\RECYCLER', '*.*', true);
DeleteFileMask('C:\DOCUME~1\CENTOC~1\LOCALS~1\Temp\', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
AddToLog(inttostr(BC_ServiceKill('swmsifz')) );
AddToLog(inttostr(BC_ServiceKill('wkzcgaqt')) );
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RebootWindows(true);
end.
[/code]
После перезагрузки
- Сделайте лог [url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url]
- сделайте лог [url=http://virusinfo.info/showthread.php?t=40118]Gmer[/url]
- повторите логи AVZ в обычном режиме.
Midnight,
Есть вопрос.
Я уже исправил почти все сам. Восстановил работу внешних устройств и т.п. Слегка напортачил, но разрешил (слва богу - я ведь не сисадмин и не программист никакой). Собрался писать как и увидел Ваше сообщение.
Я его выполню вместе с логами пришлю. Это важно, так как уверенность что я вычистил все пока нет. Хочу по одному включать внешние носиители, чтобы вылавливать остатки вирусов там.
Собственно вопрос - если я убил их все раньше + сам скрипт не повредит системе и реестру? Очень не хотелось бы впороться, когда я так близок к началу собственной работы.
Вам БОЛЬШОЕ СПАСИБО, думаю, то, что я напишу будет интересно всем. Так как информации об этом в Инете крайне мало.
Ответе, пожалуйста, побыстрее, а то опять зависнем на пару дней...
[size="1"][color="#666686"][B][I]Добавлено через 55 секунд[/I][/B][/color][/size]
Да и еще - делать под админом, в обычном режие, или как?
Делать из под той учетки откуда были сделаны логи. Думаю это учетка с административными привелегиями. Кстати при сканировании с LiveCD нужно было подключить все Ваши флэшки. Проверьте флэшки с помощью cureit теперь.
К сожалению я не мог, т.к. ни одно внешнее устройство не работало. И смысла их вставлять не было - их файловые структуры были недоступны. LiveCD я не пользовался, так как скачивать было некуда. Все делалось из безопасного режима или консоли восстановления.
Так же сделаю и сейчас, так как следуя рекомендациям, я выключил административные права у этого пользователя, а у пользователя обладающего такими правами ничего не установлено.
Так что ловите как есть. После первого прогона MBAM и AVZ. Правда первый серъезный прогон AVZ завис где-то в середине ночи. DrWeb буду делать сегодня в ночь, так как это займет не менее 20-ти часов. А сейчас прогоню Ваш скрипт и сделаю логи.
Midnight.
Высылаю запрошенное, извини, что так долго, но вроде нигдке ничего нет, кроие ругани AVZ на драйверы (см. вопрос 1) в предыдущем диалоге), да и системные угрозы и вопросы безопасности я не решил. Если есть быстрый ответ ответ - чиркани, plz.
А сейчас я ухожу на дип скан Dr/Web всех дисков...
С уважением и благодарностью, Александр
Чего-то не вижу одобрения по устранентию вирусов. Что-то не так? Ответьте, пожалуйста, а то, как-то не по себе...
Прогон DrWeb выявил два несущественных вируса - один удалил, др. в карантин - буду проверять, но это вроде связано с официальным сайтом Sears Automotive, не думаю, что там что-то серьезное - все равно удалю, если есь дублирующая инфа.
Стал смотреть други ефайлы в автозагрузке и пр. Обнаружил в автозапуске MS шпиона dumprep. Удаляется согласно ссылке [URL="http://www.raymond.cc/blog/archives/2008/03/04/what-is-dumprepexe-why-is-kernelfaultcheck-dumprep-0-k-in-msconfig-startup/"]http://www.raymond.cc/blog/archives/2008/03/04/what-is-dumprepexe-why-is-kernelfaultcheck-dumprep-0-k-in-msconfig-startup/[/URL], а то некоторые на этом деньги пытаются заработать. Это на английском, но все просто.
Жду Вашего консенсуса по результатам последних сканов, ну или закрытия темы.
ВСЕМ СПАСИБО [B]ОГРОМНОЕ!!![/B]
[U]БЕЗ ВАС КАК БЕЗ РУК...ВАШЕ ДЕЛО НЕОЦЕНИМО.[/U]
Кроме того что "Система загружена в режиме защиты от сбоев с поддержкой сети (SafeMode)" в логе avz ничего плохого не обнаружил. Проблема решена?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]46[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.DownLoader1.37928, BitDefender: Trojan.Generic.KDV.64114, AVAST4: Win32:Trojan-gen )[*] c:\\recycler\\s-1-5-21-4894964670-2857508954-162392493-6446\\syscr.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Inject.13808, BitDefender: Trojan.Generic.6078237, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:AutoRun-BRP [Trj] )[*] c:\\windows\\cfdrive32.exe - [B]Trojan.Win32.Jorik.SdBot.la[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Backdoor.Generic.624883, NOD32: IRC/SdBot trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\msvmiode.exe - [B]Email-Worm.Win32.Joleee.fkx[/B] ( DrWEB: Trojan.Siggen2.8584, BitDefender: Gen:Variant.Kazy.3567, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:FakeAV-AWS [Drp] )[*] c:\\windows\\system32\\27.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Inject.13808, BitDefender: Trojan.Generic.6078237, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:AutoRun-BRP [Trj] )[*] c:\\windows\\system32\\64.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Inject.13808, BitDefender: Trojan.Generic.6078237, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:AutoRun-BRP [Trj] )[*] c:\\windows\\system32\\72.exe - [B]P2P-Worm.Win32.Palevo.bigh[/B] ( DrWEB: Trojan.Inject.14041, BitDefender: Trojan.Generic.5120052, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:AutoRun-BRP [Trj] )[*] c:\\windows\\system32\\78.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Inject.13808, BitDefender: Trojan.Generic.6078237, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:AutoRun-BRP [Trj] )[*] c:\\windows\\system32\\82.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Inject.13871, BitDefender: Trojan.Generic.5861706, AVAST4: Win32:AutoRun-BRP [Trj] )[/LIST][/LIST]