Помогите!! троян :(

Printable View

11.09.2007, 20:24
Stasus

Вложений: 3

Помогите!! троян :(

Приветствую. Прошу о помощи. Прочитал о похожих проблемах, но у меня немного по другому. Стало постоянно выскакивать окно с текстом:
Warning! Potential Spyware Operation!
Your computer is making unauthorized copies of your system and internet files. Click YES to dounload spyware remover....
Если кликаешь YES - идет по несуществующей ссылке.
Еще пропала панель управления и не открывался календарь.
Сканировал nod32 - ничего, dr. Web нашел 8 объектов, зараженных трояном, один не может вылечить. Это system.txt Несколько раз пробовал - не может его вылечить. Все проблемы "ушли". Но после перезагрузки теперь не может найти printer.exe в папке system32 (он тоже был заражен). Воспользовался avz и hi jack
По правилам прилагаю файлы. Помогите разобраться, плиз.
11.09.2007, 22:04
V_Bond

[code]
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
04 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
[/code]
выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\printer.exe','');
QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe','');
QuarantineFile('C:\WINDOWS\system32\systems.txt','');
DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
DeleteFile(C:\WINDOWS\system32\printer.exe');
//Вызов скрипта восстановления системы
ExecuteRepair(16);
ExecuteRepair(9);
ClearHostsFile;
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
11.09.2007, 22:20
Stasus

Спасибо огромное за быстрый ответ, мистер Bond !

сейчас поробую Ваше лекарство:)
11.09.2007, 22:45
Зайцев Олег

[QUOTE='Stasus;133541']сейчас поробую Ваше лекарство[/QUOTE]
Обратите внимание - выполнять нужно текущий вариант скрипта, я его немного модифицировал.
11.09.2007, 22:57
Stasus

Всем огромное спасибо! Карантин отправил, все ок:)

ВЫРУЧИЛИ!!!
11.09.2007, 23:06
V_Bond

:\WINDOWS\system32\systems.txt not-virus:Hoax.Win32.Renos.jh
выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\printer.exe');
DeleteFile('C:\WINDOWS\system32\systems.txt');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи....
11.09.2007, 23:40
Stasus

сделал, отправил)
11.09.2007, 23:41
V_Bond

логи нужно прикреплять ,а не отправлять.... ;)
11.09.2007, 23:44
Stasus

вот.. я подозревал:) т.е. сделать те же, что и в начале самом? avz и
hijack?
11.09.2007, 23:46
V_Bond

да точно так три лога... только новых.....
12.09.2007, 00:12
Stasus

Вложений: 3

)
12.09.2007, 00:29
V_Bond

пофиксите ....
[code]
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\systems.txt
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\systems.txt');
DelWinlogonNotifyByFileName('C:\WINDOWS\system32\systems.txt');
ExecuteRepair(17);
ClearHostsFile;
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи....
12.09.2007, 00:39
Stasus

Простите, с первым кодом что нужно сделать?
12.09.2007, 00:56
V_Bond

[url]http://virusinfo.info/showthread.php?t=4491[/url]
12.09.2007, 01:21
Stasus

Вложений: 3

да, спасибо)
12.09.2007, 03:11
Bratez

Все чисто. Только вот эту строчку еще пофиксите:
[code]
O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\vtr.dll (file missing)
[/code]
И посмотрите, что вам нужно из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
(остальное поправим).
12.09.2007, 11:25
Stasus

Пофиксил.
Из служб и безопасностей ничего необычного не нужно. Это обычный домашний ПК. Я даже затрудняюсь 100% ответить
12.09.2007, 11:29
drongo

[B]Stasus[/B], на домашнем я без всего этого живу и нормально, максимум потом можно исправить.
[code]begin
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('TermService', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RebootWindows(true);
end.[/code]
12.09.2007, 11:49
Stasus

скрипт выполнен, спасибо. ПК: Я здоров?
12.09.2007, 11:52
drongo

[quote=Stasus;133668]скрипт выполнен, спасибо. ПК: Я здоров?[/quote]

Здоровых людей нет, есть недобследованные ;) Судя по логам, комп чист. Чтобы уменьшить шанс заражения, на будущее : 1) Работать за компьютером с правами ограниченного пользователя. 2) Пользоваться для хождения по интернету альтернативным браузером [B]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/B]([URL="http://virusinfo.info/showthread.php?p=121290#post121290"]Firefox[/URL] и [URL="http://virusinfo.info/showthread.php?t=6577"]Opera[/URL] это позволяют делать в отличии от IE 7 ,6....) 3) Прочитать электронную книгу"Безопасный Интернет-Универсальная защита для Windows ME - Vista";: [URL]http://security-advisory.newmail.ru[/URL] Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [URL]http://virusinfo.info/showthread.php?t=3519[/URL] Мы будем Вам очень благодарны!
12.09.2007, 12:06
Stasus

Ок. Спасибо огромное:) Советы учел. По возможности постараюсь оказывать какую-то помощь.
22.02.2009, 02:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\systems.txt - [B]Hoax.Win32.Renos.jh[/B] (DrWEB: Trojan.Fakealert.305)[/LIST][/LIST]