помогите спастись от троянов, бэкдоров и прочей ереси

Printable View

04.11.2007, 19:31
Ganj

Вложений: 3

помогите спастись от троянов, бэкдоров и прочей ереси

помогите, пожалуйста, излечиться от злобной группы вирусов, которые восстанавливаются после удаления...
04.11.2007, 19:41
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('FCI');
QuarantineFile('H:\WINDOWS\system32\TrafInspAg_Tollbar.dll','');
QuarantineFile('H:\WINDOWS\System32\undname.exe','');
QuarantineFile('H:\DOCUME~1\Ganj\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
QuarantineFile('h:\windows\temp\startdrv.exe','');
DeleteFile('h:\windows\temp\startdrv.exe');
DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
DeleteFile('H:\DOCUME~1\Ganj\LOCALS~1\Temp\winlogon.exe');
DeleteFile('H:\WINDOWS\System32\undname.exe');
DeleteFile('H:\WINDOWS\system32\TrafInspAg_Tollbar.dll');
BC_ImportALL;
BC_QrFile('H:\WINDOWS\System32\svchost.exe:ext.exe');
BC_DeleteFile('H:\WINDOWS\System32\svchost.exe:ext.exe');
BC_QrSvc('FCI');
BC_DeleteSvc('FCI');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин по [URL="http://virusinfo.info/upload_virus.php?tid=13865"]этой[/URL] ссылке. Повторите логи.
04.11.2007, 20:10
Ganj

Вложений: 3

не уверен что все сделал правильно, поправьте, если что не так.
04.11.2007, 20:14
Ganj

тут есть еще такая штука (может это важно): startdrv.exe создает файл в windows/system32/drivers/secdrv.sys, котрый сразу удаляется нодом при перезагрузке...
04.11.2007, 20:18
V_Bond

вы не выполняли скрипт ?
04.11.2007, 20:23
Ganj

выполнял
04.11.2007, 20:24
V_Bond

[B]отключите антивирус .....[/B]
выполните скрипт...
[code]
begin
BC_QrFile('h:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('h:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('h:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('h:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
DeleteFile('H:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.
[/code]
затем еще один...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('H:\WINDOWS\system32\TrafInspAg_Tollbar.dll','');
QuarantineFile('H:\WINDOWS\System32\undname.exe','');
QuarantineFile('H:\DOCUME~1\Ganj\LOCALS~1\Temp\winlogon.exe','');
DeleteFile('H:\DOCUME~1\Ganj\LOCALS~1\Temp\winlogon.exe');
DeleteFile('H:\WINDOWS\system32\TrafInspAg_Tollbar.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
[/code]
пришлите каратин согласно приложения 3 правил...
04.11.2007, 20:32
rubin

[code]
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
[/code]
Нужно обновить до SP2 и установить все последующие обновления. А то можно лечиться до бесконечности...
04.11.2007, 20:37
Ganj

вроде все сделал

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

все сделал - скрипты и карантин. второй пак обязателен и поможет ли он? просто у меня уже и так весь трафф сожран и качать еще метров на 300 пак тяжеловато... но если только это может помочь, то, конечно, придется
04.11.2007, 20:38
V_Bond

из попавших в карантин ....
H:\WINDOWS\system32\drivers\runtime2.sys[B] Rootkit.Win32.Agent.Jp[/B]
h:\windows\temp\startdrv.exe T[B]rojan-Spy.Win32.KeyLogger.rp[/B]
повторите логи ....
04.11.2007, 20:46
rubin

[QUOTE=Ganj;147556] второй пак обязателен и поможет ли он? просто у меня уже и так весь трафф сожран и качать еще метров на 300 пак тяжеловато... но если только это может помочь, то, конечно, придется[/QUOTE]
Это не даст 100% защиты, но во много раз уменьшит Ваш риск... поэтому настоятельно рекомендуем :)
04.11.2007, 20:55
Ganj

Вложений: 3

если ставить второй пак, то эти проблемы решатся сами собой или их все равно нужно вначале решить, а уже потом ставить пак?
04.11.2007, 20:58
V_Bond

вы [URL="http://virusinfo.info/showthread.php?t=7239"]____так____[/URL] выполняете скрипт ?
04.11.2007, 21:01
Ganj

да
04.11.2007, 21:05
V_Bond

выполните скрипты из поста 7 в Safe mode ... и повторите логи ...
04.11.2007, 21:10
Ganj

извините за нескромный вопрос, как загрузиться в сейф моде?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

сорри, уже нашел
04.11.2007, 21:11
rubin

Перезагрузить компьютер - при загрузке системы тыкать на F8 - выбрать там Safe mode
04.11.2007, 21:50
Ganj

Вложений: 3

все скрипты и логи сдела в сейф моде...
04.11.2007, 21:59
rubin

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('H:\WINDOWS\system32\drivers\secdrv.sys','');
DeleteFile('H:\WINDOWS\Temp\startdrv.exe');
DeleteFile('H:\WINDOWS\system32\drivers\secdrv.sys');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
O4 - HKLM\..\Run: [startdrv] H:\WINDOWS\Temp\startdrv.exe[/CODE]
3. Повторить логи
04.11.2007, 22:07
V_Bond

пришлите по правилам файл TrafInspAg_Tollbar.dll ...
04.11.2007, 22:09
Ganj

не знаю хорошо ли это или плохо, но в HijackThis нет такой строчки. Делать логи без пункта 2?
04.11.2007, 22:11
V_Bond

что нет - это хорошо ...
04.11.2007, 22:11
rubin

Строчки нет, хорошо ;) Значит AVZ сам уже почистил...
04.11.2007, 22:13
Ganj

и TrafInspAg_Tollbar.dll не видать тоже... сейчас сделаю логи. я близок к выздоровлению?!:D
04.11.2007, 22:15
rubin

Ждем логов...
04.11.2007, 22:26
Ganj

Вложений: 3

логи...
04.11.2007, 22:32
V_Bond

в логах чисто .... осталось пофиксить ...
[code]
O3 - Toolbar: &Traffic Inspector Agent - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - H:\WINDOWS\system32\TrafInspAg_Tollbar.dll (file missing)
[/code]

и разобраться с этим ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Messenger (Messenger)
>> Службы: разрешена потенциально опасная служба Alerter (Alerter)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
04.11.2007, 22:43
Ganj

подскажите, пожалуйста, как по запрещать эти опасные службы. Кроме "автозапуск программ с CDROM" эти службы мне ни про что не говорят, так что, думаю, проживу и без них:)

в целом же, всем вам ОГРОМНОЕ СПАСИБО за помощь. вы - профи!!! дальнейших вам успехов в вашем нелегком деле, ну а уж мы работку вам подкинем!;)
04.11.2007, 22:45
V_Bond

закрываем потенциальные уязвимости ...
выполните скрипт ...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
04.11.2007, 22:46
rubin

А скрипт уже сделали :)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!
22.02.2009, 02:49
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] h:\\windows\\system32\\drivers\\runtime2.sys - [B]Rootkit.Win32.Agent.jp[/B] (DrWEB: Trojan.NtRootKit.422)[*] h:\\windows\\temp\\startdrv.exe - [B]Trojan-Spy.Win32.KeyLogger.rp[/B] (DrWEB: BackDoor.Bulknet)[/LIST][/LIST]