ничего зловредного не вижу... но стороки так и не профиксились ....
Printable View
ничего зловредного не вижу... но стороки так и не профиксились ....
Может, с правами на эти ключи что-то не то?
Может в реестре найти и запретить выполнение?
Выполняться там уже нечему. А вот попробовать прибить эти ключи руками и посмотреть на результат - это имеет смысл.
O20 - Winlogon Notify: 1_32bean32_1reg - C:\WINDOWS\
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
Чтобы это убрать мне в реестре надо поискать 1_32bean32_1reg и rpcc?
Откройте ветку:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
на следующем уровне ищите [B]1_32bean32_1reg [/B]и [B]rpcc[/B] и пробуйте удалить.
Хорошо. Вечером попробую
[size="1"][color="#666686"][B][I]Добавлено через 4 часа 6 минут[/I][/B][/color][/size]
Записи в реестре не удалились, но они запрещены.
Дрвеб не находит нового. Правда Оутпост Фаервол нашел Спамбот и отправил в карантин.
Тему думаю можно закрыть
[QUOTE=OlegXON;130761]о. Правда Оутпост Фаервол нашел Спамбот и отправил в карантин.
[/QUOTE]
что конкретно ? ... вышлите пожалуйста по правилам....
[FONT=Arial][SIZE=1]Карантин
Дата[/SIZE][/FONT][FONT=Arial][SIZE=1]Время [/SIZE][/FONT][FONT=Arial][SIZE=1]18:15:19
[/SIZE][/FONT][FONT=Arial][SIZE=1]Объект [/SIZE][/FONT][FONT=Arial][SIZE=1]Spambot
[/SIZE][/FONT][FONT=Arial][SIZE=1]Действие[U]Удалить[/U][/SIZE][/FONT][U][FONT=Arial][SIZE=1]Восстановить[/SIZE][/FONT][/U]
18:15:19 Malware Spambot
[FONT=Arial][SIZE=1][FONT=Verdana][SIZE=2]Это запись журнала Фаервола. Где находиться карантин и как извлечь файл я не знаю. Оутпост не может удалить этот объект, только в карантин [/SIZE][/FONT]
[/SIZE][/FONT]
где-то так... \Agnitum\Outpost Firewall\Plugins\AntiSpyware\quarantine
Нашел карантин и закачал
на вирустотале никто ничего подозрительного не нашел .... подождем что скажет вирлаб ...
[QUOTE='OlegXON;130761']Записи в реестре не удалились, но они запрещены.[/QUOTE]
Доступ запрещён?
Да для всех пользователей доступ запрещен
в Regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
- безопастность - разрешения для винлогон - полный доступ ...
поставить значек ...
[quote=V_Bond;131068]в Regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
- безопастность - разрешения для винлогон - полный доступ ...
поставить значек ...[/quote]
Галочку полный доступ поставить на Разрешить или Запретить
[QUOTE]Галочку полный доступ поставить на Разрешить или Запретить[/QUOTE]
Разрешить естественно ;)
Опять поймал заразу. Будет время посмотрите пожалуйста.
выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи...
Скрипт выполнил
в логах чисто...
Хорошие новости. Спасибо. Тогда, пока все
Посмотрите еще пожалуйста
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11883[/url]
что из этого вам нужно?остальное пофиксим
[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: разрешен автоматический вход в систему[/QUOTE]
Скрипт прогнал. Карантин выслал.
Это можно запретить
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
C:\WINDOWS\system32\ntkrnlpa.exe
Sunbelt 2.2.907.0 2007.09.15 VIPRE.Suspicious
Webwasher-Gateway 6.0.1 2007.09.14 Win32.Malware.gen (suspicious)
C:\WINDOWS\system32\ntoskrnl.exe
Sunbelt 2.2.907.0 2007.09.15 VIPRE.Suspicious
Webwasher-Gateway 6.0.1 2007.09.14 Win32.Malware.gen (suspicious)
подождем вердикт вирлаба .....
C:\WINDOWS\system32\DRIVERS\tcpip.sys -чистый
выполните скрипт ...
[code]
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.
[/code]
выполнил
Стало хуже. Комп перегружается. Фаерволом заблоблокировал Explorer, который слал исходящее.
[QUOTE=OlegXON;135092]Стало хуже. Комп перегружается. Фаерволом заблоблокировал Explorer, который слал исходящее.[/QUOTE]
не знаю после чего хуже ... ничего не делалось ... (устранили только потенциальные уязвимости)
C:\WINDOWS\system32\ntkrnlpa.exe- [B]Trojan-Dropper.Win32.Agent.bwf[/B],
C:\WINDOWS\system32\ntoskrnl.exe - [B]Trojan-Dropper.Win32.Agent.bwg[/B]
искать диск с дистрибутивом и заменять оба ...
Файлы еще не заменял. Explorer.exe продолжает гнать трафик. Комп постоянно зависает. ДрВеб нашел в корне трояна
Trojan-Dropper - предназначен для установки в систему других зловредов ... пока не разберемся с ними ,остальное лечить нет смысла...
ntoskrnl.exe заменил из дистрибутива.
ntkrnlpa.exe на диске нет
В дистрибутиве есть только NTKRNLMP.EX_. Его я тоже заменил
Кроме того на винте есть еще ntkrpamp.exe, которого на диске тоже нет.
Небольшой прогресс - Эксплорер.ехе больше не грузит трафик.
возьмите этот [URL="http://slil.ru/24863947"]ntkrnlpa.exe [/URL]
Спасибо за ссылку. Файл заменил
повторите логи....
новые логи
в логах больше ничего подозрительного нет.
BackDoor.PSClient - еще один вирус, а может и не один - посмотрите пожалуйста.
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\tlhelp32.exe','');
QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\sfc_os.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения з правил ...
Закачал