Обнаружен trojan-spy(keylogger), rootkit agent. Трояна вроде удалила, руткит не могу - и не запускается диспетчер(пишет, что отключен админом), не меняеся фон раб. стола. Помогите пожалуйста! заранее спасибо!
Printable View
Обнаружен trojan-spy(keylogger), rootkit agent. Трояна вроде удалила, руткит не могу - и не запускается диспетчер(пишет, что отключен админом), не меняеся фон раб. стола. Помогите пожалуйста! заранее спасибо!
Вложение
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ldr.exe,C:\WINDOWS\system32\idaw64.exe,C:\WINDOWS\system32\codeblocks.exe,
O2 - BHO: BhoApp Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\WINDOWS\system32\bho.dll (file missing)
O4 - HKLM\..\Run: [System32] C:\WINDOWS\system32\frmwrk.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\windll32.exe internet.dll,LoadNetworkProfile
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\D19D~1\LOCALS~1\Temp\winlogon.exe
[/code]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\bho.dll','');
QuarantineFile('C:\WINDOWS\system32\windll32.exe','');
QuarantineFile('C:\WINDOWS\system32\codeblocks.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\ldr.exe','');
QuarantineFile('C:\WINDOWS\system32\idaw64.exe','');
QuarantineFile('C:\DOCUME~1\D19D~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\frmwrk.exe','');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
DeleteFile('C:\WINDOWS\system32\frmwrk.exe');
DeleteFile('C:\WINDOWS\system32\windll32.exe');
DeleteFile('C:\DOCUME~1\D19D~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\bho.dll');
BC_ImportAll;
BC_DeleteSvc('FCI') ;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
Пришлите карантин и повторите логи
Как описано в приложении 3 Правил
Карантин есть?
Карантин есть, но там ничего интересного.
Сделайте в AVZ: Файл - Восстановление системы - отметить п.5, 6, 8, 11 - Выполнить. И давайте новые логи.
C:\Program Files\Autodesk\Inventor 10\SDK\Samples\VB\Standalone Applications\ApprenticeServer\AssemblyTree\Assembly Tree.exe
C:\Program Files\Autodesk\Inventor 10\SDK\Samples\VB\Standalone Applications\Inventor\iPart\UpdateiPartMem.exe
Только они попали в карантин, вроде чистые... повторите логи
Так. я щас отправляю логи по запросу Рубина в 16.30.
После этого делать восстановление 56811 и новые логи по запросу Братца?
Простите пожалуйста - не могу понять чьи указания делать... Да и логи долго делаются- вы успеваете еще попросить..:).Глаза разбегаются!
Надо было все действия сделать, потом логи ;)
Ну да ладно. Сделайте восстановление, как я писал, и сообщите, есть ли положительный эффект.
По последним присланным Вами логам...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Consistent Software\NormaCS 1.0\pph.dll','');
BC_ImportQuarantineList;
BC_QrFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
BC_QrSvc('FCI');
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.
[/code]
Положительный эффект после восстановления ЕСТЬ! Дисп заработал, но только нас фоном проблемы -картинку выбрать дает,(раньше всё было неактивно), но на рабочем столе пусто. А этот руткит СЕЙЧАС не отсылает ли мои скриншоты и др. инфу в инет? Я этого боюсь и пароли жалко.
После выполнения последнего скрипта пришлите пожалуйста карантин.
Сейчас лог делается. Пришлю карантин одновременно с логами
После скрипта.Каринтин послала
меня уже с работы выгоняют. Можно ли завтра продолжить? Спасибо
.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
В логах ничего зловредного не просматривается.
Что из этого вам нужно?остальное поправим
[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/QUOTE]
Добрый День!
Мне надо, чтобы всё работало. Я могу эти службы запускать "вручную", если понадобится. Это поможет? ПК в ЛВС.
[size="1"][color="#666686"][B][I]Добавлено через 39 минут[/I][/B][/color][/size]
RemoteRegistry (Удаленный реестр) выкл, вручную
TermService (Службы терминалов) работает(не выключается вообще -неактивно), отключено
SSDPSRV (Служба обнаружения SSDP) раб, вручн.
Messenger (Служба сообщений) работает, авто.
Schedule (Планировщик заданий) раб, вручн.
mnmsrvc (NetMeeting Remote Desktop Sharing) откл, вручную,
RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) откл, вручную,
В таком состоянии сейчас у меня службы. Что неверно(если есть?).
И еще вопрос, Как узнать, отсылает ли руткит данные ?
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 20 минут[/I][/B][/color][/size]
И еще вопрос, Как узнать, отсылает ли руткит данные ?
Руткита уже нет, ничего отсылаться не должно.
только сейчас заметила!!! В моем компьютере появилась папка Веб-папки/мои узлы сети МСН, просит пароль и логин. Вчера этого г.. не было!!!!!Что это такое?
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Посоветуйте файервол попроще и что-нибудь для учета своего трафика, пожалуйста.
И еще. Нужно ли мне включить восстановление системы обратно?
заранее спасибо!
Учет траффика - TrafficMeter
Фаерволлы - ZoneAlarm, Agnitum Outpost или комплексные решения - антивирус + фаерволл (например KIS 7.0)
[quote=rubin;148315]Учет траффика - TrafficMeter
Фаерволлы - ZoneAlarm, Agnitum Outpost или комплексные решения - антивирус + фаерволл (например KIS 7.0)[/quote]
Трафикметр - он же для КПК?:? и на ПС пойдет?
М, попутал :) TMeter. В-общем, google.com Вам поможет :)
Спасибо!
а что за вебпапка все-таки?
[QUOTE=Alcur;148321]Спасибо!
а что за вебпапка все-таки?[/QUOTE]
Включена служба Web Folders. Позволяет просматривать веб-папки как локальные. Удаляется через "Установка/Удаление программ"
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!
Удачи!
[quote=rubin;
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!
Удачи![/quote]
Честно говоря, не особо понимаю, зачем Вам эти мои файлы, но раз нужно - закачала. Правда там ошибка какая-то: Ошибка карантина файла, попытка прямого чтения. Ну Вы, наверное, разберетесь!:)
Спасибо Вам за помощь! :)
Это поможет пополнить сведения о безопасных файлах, и облегчит нашу работу при анализе логов. Спасибо Вам!
rubin!
Простите за беспокойство, но после установки Тметера в диспетчере задач не отображаются имена пользователей во вкладке процессы, отобразился только system в бездействии системы. Это нормально?Появиля процесс wuaclt.exe и пропал, вместо него появился system без расширения, не завершается. Что это?
они отображаются не из-за TMeter, а т.к. мы отключили службу терминалов...
wuaclt.exe - автообновление виндоус
Семен Семеныч!:grin: Обжегшись на молоке, как говорится.....с этими вирусами параноиком станешь...
Большое спасибо! извините за беспокойство :pray:
Всегда пожалуйста