Printable View
По этой инструкции [url]http://securityresponse.symantec.com/avcenter/venc/data/w32.rahack.html[/url] вроде вычистил торяна, но после него остались exe-шники :(
Стоит только войти в в папку в которой есть эти гады (exe-шники), и тут же опять происходит заражение. Чем можно почистить комп от этой гадости ?!?
Антивирусом?
Антивирусом, в безопасном режиме, а лучше вообще из консоли.
Norton Antivirus ничего странного в них не находит :(
база от 05.01.05г.
Хотя когда происходит инфицирование, он ругается и помещает что то в карантин...
[QUOTE=Den]
Norton Antivirus ничего странного в них не находит :(
база от 05.01.05г.
Хотя когда происходит инфицирование, он ругается и помещает что то в карантин...
[/QUOTE]
Тогда [url]http://virusinfo.info/index.php?board=26;action=display;threadid=20[/url]
А вообще Нортон далеко не лучший антивирус.
AVZ тоже не нашел ничего странного в exe-шниках оставшихся после Rahack`а :(
[QUOTE=Den]
AVZ тоже не нашел ничего странного в exe-шниках оставшихся после Rahack`а :(
[/QUOTE]
А там разве не написано что если не поможет нужно логи сделать?
Сорри :)
Logfile of HijackThis v1.99.0
Scan saved at 10:50:59, on 12.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\FireBird\bin\ibserver.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\r_server.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\dns.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\igfxtray.exe
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\internat.exe
C:\Program Files\MZ Arhivator\saviour.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\msiexec.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUALL.EXE
D:\Distr\Agency_NEW\Distrib\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://ya.ru[/url]
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: MZ Архиватор.lnk = C:\Program Files\MZ Arhivator\saviour.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {D30CA0FD-1CA0-11D4-AC78-006008A9A8BC} (WebBasedClientInstall Class) - file://C:\Program Files\SAV\clt-inst\WEBINST\webinst.cab
O17 - HKLM\System\CS1\Services\Tcpip\..\{1E722059-B4D9-4C58-BD6D-5AED5CF73478}: NameServer = xx.xx.xx.xx,xx.xx.xx.xx
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Intel PDS - Unknown - C:\WINNT\System32\cba\pds.exe (file missing)
O23 - Service: Firebird Server - Unknown - C:\Program.exe (file missing)
O23 - Service: Symantec AntiVirus Client - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Remote Administrator Service - Unknown - C:\WINNT\System32\r_server.exe
StartupList report, 12.01.2005, 10:51:18
StartupList version: 1.52.2
Started from : D:\Distr\Agency_NEW\Distrib\hijackthis\HijackThis.EXE
Detected: Windows 2000 SP4 (WinNT 5.00.2195)
Detected: Internet Explorer v5.00 SP4 (5.00.2920.0000)
* Using default options
* Showing rarely important sections
==================================================
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\FireBird\bin\ibserver.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\r_server.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\dns.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\igfxtray.exe
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\internat.exe
C:\Program Files\MZ Arhivator\saviour.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\msiexec.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
D:\Distr\Agency_NEW\Distrib\hijackthis\HijackThis.exe
--------------------------------------------------
Listing of startup folders:
Shell folders Startup:
[C:\Documents and Settings\nik\Start Menu\Programs\Startup]
MZ Архиватор.lnk = C:\Program Files\MZ Arhivator\saviour.exe
Shell folders Common Startup:
[C:\Documents and Settings\All Users\Start Menu\Programs\Startup]
Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
IgfxTray = C:\WINNT\system32\igfxtray.exe
HotKeysCmds = C:\WINNT\system32\hkcmd.exe
vptray = C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
internat.exe = internat.exe
--------------------------------------------------
Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)
[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
[{6A5110B5-E14B-4268-A065-EF89FF33C325}] *
StubPath = regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll
[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll
[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe
--------------------------------------------------
Shell & screensaver key from C:\WINNT\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Checking for EXPLORER.EXE instances:
C:\WINNT\Explorer.exe: PRESENT!
C:\Explorer.exe: not present
C:\WINNT\Explorer\Explorer.exe: not present
C:\WINNT\System\Explorer.exe: not present
C:\WINNT\System32\Explorer.exe: not present
C:\WINNT\Command\Explorer.exe: not present
C:\WINNT\Fonts\Explorer.exe: not present
--------------------------------------------------
Checking for superhidden extensions:
.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden
--------------------------------------------------
Enumerating Download Program Files:
[Shockwave Flash Object]
InProcServer32 = C:\WINNT\System32\macromed\flash\Flash.ocx
CODEBASE = [url]http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/url]
[WebBasedClientInstall Class]
InProcServer32 = C:\WINNT\Downloaded Program Files\WebInst.Dll
CODEBASE = file://C:\Program Files\SAV\clt-inst\WEBINST\webinst.cab
--------------------------------------------------
Enumerating Windows NT/2000/XP services
AFD Networking Support Environment: \SystemRoot\System32\drivers\afd.sys (autostart)
Alerter: %SystemRoot%\System32\services.exe (autostart)
Computer Browser: %SystemRoot%\System32\services.exe (autostart)
DefWatch: C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe (autostart)
Distributed File System: %SystemRoot%\system32\Dfssvc.exe (autostart)
DHCP Client: %SystemRoot%\System32\services.exe (autostart)
Logical Disk Manager: %SystemRoot%\System32\services.exe (autostart)
DNS Server: %SystemRoot%\System32\dns.exe (autostart)
DNS Client: %SystemRoot%\System32\services.exe (autostart)
Event Log: %SystemRoot%\system32\services.exe (autostart)
Intel PDS: C:\WINNT\System32\cba\pds.exe (autostart)
Firebird Server: C:\Program Files\FireBird\bin\ibserver -s (autostart)
Server: %SystemRoot%\System32\services.exe (autostart)
Workstation: %SystemRoot%\System32\services.exe (autostart)
License Logging Service: %SystemRoot%\System32\llssrv.exe (autostart)
TCP/IP NetBIOS Helper Service: %SystemRoot%\System32\services.exe (autostart)
Messenger: %SystemRoot%\System32\services.exe (autostart)
Distributed Transaction Coordinator: C:\WINNT\System32\msdtc.exe (autostart)
NAVAPEL: \??\C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\NAVAPEL.SYS (autostart)
Symantec AntiVirus Client: C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe (autostart)
Removable Storage: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Plug and Play: %SystemRoot%\system32\services.exe (autostart)
IPSEC Policy Agent: %SystemRoot%\System32\lsass.exe (autostart)
Protected Storage: %SystemRoot%\system32\services.exe (autostart)
Remote Registry Service: %SystemRoot%\system32\regsvc.exe (autostart)
Remote Procedure Call (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
Remote Administrator Service: "C:\WINNT\System32\r_server.exe" /service (autostart)
Security Accounts Manager: %SystemRoot%\system32\lsass.exe (autostart)
Task Scheduler: %SystemRoot%\system32\MSTask.exe (autostart)
RunAs Service: %SystemRoot%\system32\services.exe (autostart)
System Event Notification: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Print Spooler: %SystemRoot%\system32\spoolsv.exe (autostart)
Still Image Service: %systemroot%\system32\stisvc.exe (autostart)
Terminal Device Driver: \SystemRoot\System32\drivers\termdd.sys (autostart)
Terminal Services: %SystemRoot%\System32\termsrv.exe (autostart)
Distributed Link Tracking Client: %SystemRoot%\system32\services.exe (autostart)
Windows Management Instrumentation: %SystemRoot%\System32\WBEM\WinMgmt.exe (autostart)
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\System32\webcheck.dll
SysTray: stobject.dll
на сколько я понял Rahack`а больше на машине нет, от него остались только exe-шники которые не вытирают ни NAV ни AVZ :(
Руками вытирать - не вариант ...
Вот этих не знаю:
C:\WINNT\System32\r_server.exe (видимо, сам RAdmin?)
C:\Program Files\MZ Arhivator\saviour.exe
Завернить в архив с паролем virus и отошлите на [email][email protected][/email]
У вас там терминальный сервер установлен?
Это свои :)
первый - Radmin мой
второй - типа бакапер
установлен терминальный клиент...
exe-шник оставшийся от Rahack`а скинуть на мыло?
[QUOTE=Den]
exe-шник оставшийся от Rahack`а скинуть на мыло?
[/QUOTE]
Давай
Кстати, а что за папка с зараженными файлами? Там только зараженные, или чистые тоже есть?
Он создет exe-шники рядом с нормальной html`кой с таким же значком :(
При запуске html`ки запускается exe и происходит инфицирование :(
Exe выслал
Комп домашний? Если да, то очень советую сменить антивирус. На файлик посмотрим. Возможно Олег добавит детектирование в АВЗ, и можно будет им почистить.
Комп рабочий, NA корпоративный :(
А какой посоветуете? AVP кажется мне тяжелым, Dr.Web - не внушает доверия ...
думаю лучше firewall накатить, хоть в следующий раз может поможет :)
[QUOTE=Den]
Комп рабочий, NA корпоративный :(
А какой посоветуете? AVP кажется мне тяжелым, Dr.Web - не внушает доверия ...
думаю лучше firewall накатить, хоть в следующий раз может поможет :)
[/QUOTE]
AVP тяжелый, но вопрос что важнее, скорость или безопасность.
Dr.Web очень неплох, хотя бывают иногда некоторые глюки.
В общем это лидеры по обеспечению безопасности. Из остальных, насколько я могу судить, неплохи Битдефендер и НОД
firewall не предотвражает заражения (кроме сетевых червей). Единственное что, он может помешать трояну отправить информацию с компа. Но не всегда.
Дык а чем exe-шники погрохать то ??? ???
а то страшно сохраненные html-ки открывать.
[QUOTE=Den]
Дык а чем exe-шники погрохать то ??? ???
а то страшно сохраненные html-ки открывать.
[/QUOTE]
Я думаю Олег добавит в АВЗ, можно будет им и почистить.
[QUOTE=Den]
Дык а чем exe-шники погрохать то ??? ???
а то страшно сохраненные html-ки открывать.
[/QUOTE]
Смени значек для HTML на какой нибудь не стандартный, а еще лучше браузер (если это не противоречет политике предприятия), В результате будеш точно разлечать своих и чужих.