begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
QuarantineFile('C:\Documents and Settings\Kirill\Local Settings\Temporary Internet Files\Content.IE5\G56RS5EF\ieupdater[1].exe','');
QuarantineFile('C:\Documents and Settings\Kirill\Local Settings\Temporary Internet Files\Content.IE5\8LEVWPQV\ieupdater[1].exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\PROCEXP111.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a03bogrq.SYS','');
QuarantineFile('C:\WINDOWS\system32\msftp.dll','');
QuarantineFile('c:\windows\system32\drivers\spool.exe','');
QuarantineFile('c:\documents and settings\kirill\local settings\application data\cftmon.exe','');
DeleteFile('c:\documents and settings\kirill\local settings\application data\cftmon.exe');
DeleteFile('c:\windows\system32\drivers\spool.exe');
DeleteFile('C:\WINDOWS\system32\msftp.dll');
DeleteFile('C:\Documents and Settings\Kirill\Local Settings\Temporary Internet Files\Content.IE5\8LEVWPQV\ieupdater[1].exe');
DeleteFile('C:\Documents and Settings\Kirill\Local Settings\Temporary Internet Files\Content.IE5\G56RS5EF\ieupdater[1].exe');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\A0009788.exe');
DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\A0010916.exe');
DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\A0010919.exe');
DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\ieupdater[10.exe');
DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\ieupdater[1].exe');
DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\ieupdr2.exe');
DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\ie_updates3r.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Последний раз редактировалось akoK; 10.02.2008 в 17:18.
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
spool.exe (2 штуки) удаляются из процессов. cftmon.exe (и он запускает второй cftmon.exe) после удаления возникают снова.
В procexp можно посмотреть threads от cftmon.exe. Как я понимаю, он "тесно общается" с kernel32.dll и msftp.dll и, тем самым, постоянно "потребляет" процессорное время от ~5 до 8%. А вся эта "система" после перезагрузки и захода в интернет с кем-то "общается"...
Скрипт выполнил, карантин прислал, прикладываю логи. В HiJackThis не было тех 4 строчек, которые надо было фиксить.
Devcon скачал, подскажите, пожалуйста, как составить командную строку для моего случая.
в логах не видно ничего зловредного ...
какие проблемы остались ?
По-видимому, только с этим "девайсом". Но все же странно, как так один и тот же "троян" появляется через некоторое время снова? Никаких файлов подозрительных не запускали...
Попробовать поменять пароль администратора?
Добавлено через 1 минуту
Сообщение от akoK
Получается команда вида
подскажите, как сделать, чтобы окно оставалось после выполнения команд?
Последний раз редактировалось Kirik; 11.02.2008 в 00:47.
Причина: Добавлено
Отключите на браузере JS, а еще лучше юзайте под ограниченным пользователем
код экземпляра устройства очень длинный... на команду
C:\Program Files\devcon\i386>devcon.exe -hwids pci\ven_10de&dev_044a&subsys_10ec0888&rev_a1
я получил список ID NVidia и в конце:
15 matching device(s) found. "dev_044a" не является внутренней или внешней командой, исполняемой программой или пакетным файлом. "subsys_10ec0888" не является внутренней или внешней командой, исполняемой программой или пакетным файлом. "rev_a1" не является внутренней или внешней командой, исполняемой программой или пакетным файлом.
JavaScript отключил (просто Java и JRE к этому совету, как я понимаю, не относятся?), а вот как использовать браузер под ограниченным пользователем, не понимаю.. ? это где-то присваивается?
Нет вы просто создаете учетную запись с ограниченными правами и все
Спасибо за помощь! Не думаю, что учетная запись такого рода поможет А все-таки, отключенный JS что-нибудь дает? На некоторых сайтах пишут "у вас отключен яваскрипт, сайт не будет корректно работать" - что-нибудь в этом духе... Это с сайта знакомств.
Добавлено через 31 минуту
переустановил драйвера NVidia. Попробовал установку драйверов для этого девайса автоматом - не нашлись, оставил галку, чтоб не напоминали больше. Но устройство никуда не делось... Заметил я нечто забавное... Сегодня в папке Windows/system32/ появился странный новый файл FNTCACHE.DAT Это было до переустановки драйверов. После удаления он все равно обновлялся... Никаких schedule и проверок у меня никакими программами не назначено - откуда это (весом примерно 1,5 Мб), непонятно.
Опять появились msftp.dll, а потом появился spool.exe
На нашем компьютере два пользователя, я спрашивал маму - она ни на какие баннеры не кликала, ничего подозрительного не запускала... Короче, она соображает. Но в первую очередь msftp.dll обнаружился в папке ее документов - может ли троян где-то тихо сидеть у другого пользователя? Какой у этого механизм, мне непонятно.
Прикладываю логи, согласно правилам.
были ли в прошлый раз при исследовании замечены файлы settings.sfm и settingsbkup.sfm ? А еще, в первый раз, обратил свое внимание на появление непонятных файлов типа :
BMXBkpCtrlState-{00000001-00000000-00000009-00001102-00000004-10071102}.rfx , BMXCtrlState-{00000001-00000000-00000009-00001102-00000004-10071102}.rfx
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: