Добрый день!
Корпоративный компьютер, несмотря на Тренд Офис Скан все-таки заразился.
Провел лечение, согласно правил.
Но хотелось убедиться, что следов вируса или его частей не осталось.
Логи во вложении.
Надеюсь на помощь.
Добрый день!
Корпоративный компьютер, несмотря на Тренд Офис Скан все-таки заразился.
Провел лечение, согласно правил.
Но хотелось убедиться, что следов вируса или его частей не осталось.
Логи во вложении.
Надеюсь на помощь.
Последний раз редактировалось CandyMAN; 21.03.2008 в 17:54.
отключите восстановление системы ...
пофиксите ...
выполните скрипт ....Код:O2 - BHO: C:\WINDOWS\system32\jkd845jg.dll - {B5AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jkd845jg.dll (file missing) O2 - BHO: C:\WINDOWS\system32\d4ghggf4g.dll - {B5AF0562-94F3-42BD-F434-2604812C297D} - C:\WINDOWS\system32\d4ghggf4g.dll (file missing) O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\SOKOLO~1\LOCALS~1\Temp\winlogon.exe O4 - HKCU\..\Run: [noskrnl] C:\WINDOWS\noskrnl.exe O20 - Winlogon Notify: atiataxx - atiataxx.dll (file missing) O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\eawboc.dll (file missing) O22 - SharedTaskScheduler: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\eawboc.dll (file missing) O22 - SharedTaskScheduler: sdf4dr4gfdgeetj - {B5AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jkd845jg.dll (file missing) O22 - SharedTaskScheduler: JGhjddf9dtj - {B5AF0562-94F3-42BD-F434-2604812C297D} - C:\WINDOWS\system32\d4ghggf4g.dll (file missing)
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\noskrnl.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\jkd845jg.dll',''); QuarantineFile('C:\WINDOWS\system32\eawboc.dll',''); QuarantineFile('C:\WINDOWS\system32\d4ghggf4g.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll',''); QuarantineFile('C:\DOCUME~1\SOKOLO~1\LOCALS~1\Temp\winlogan.exe',''); DeleteFile('C:\DOCUME~1\SOKOLO~1\LOCALS~1\Temp\winlogan.exe'); DeleteFile('C:\WINDOWS\system32\d4ghggf4g.dll'); DeleteFile('C:\WINDOWS\system32\eawboc.dll'); DeleteFile('C:\WINDOWS\system32\jkd845jg.dll'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\noskrnl.exe'); BC_DeleteSvc('FCI'); BC_DeleteSvc('Microsoft Inet Service'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи...
Файл сохранён как 071204_055618_virus_475540623f165.zip
Размер файла 43499
MD5 3e5b97d9cfdffa15314fcd4116b82a7a
Прошу прощения, но после того как профиксил обнаружил, что не отключил востановление системы. Пункты вроде как все удалились помеченные. Но один пункт вызывает подозрение
может его тоже стоит пофиксить?O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)
AVZ работал на отключенной системе восстановления.
Остальное вроде как сделал по-написаному
Последний раз редактировалось CandyMAN; 21.03.2008 в 17:54.
Пофиксите:
Выполните скрипт:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\7z.exe,C:\WINDOWS\system32\ntos.exe, O4 - HKLM\..\Run: [f94mggfhfghodftdf] C:\DOCUME~1\SOKOLO~1\LOCALS~1\Temp\winlogan.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [f94mggfhfghodftdf] C:\DOCUME~1\SOKOLO~1\LOCALS~1\Temp\winlogan.exe O4 - HKCU\..\Run: [Windows Rescue System] C:\DOCUME~1\SOKOLO~1\LOCALS~1\Temp\winsto.exe O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)
Повторите лог HijackThis.Код:begin BC_DeleteSvc('FCI'); BC_DeleteSvc('Microsoft Inet Service'); BC_Activate; RebootWindows(true); end.
Добавлено через 2 минуты
Выполните скрипт:
Пришлите карантин по правилам.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\TEMP\KL30CE.EXE',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Bratez; 04.12.2007 в 15:11. Причина: Добавлено
I am not young enough to know everything...
Файл, который предлагается к карантину является изменяемым модулем антивируса Тренд. Думаю именно поэтому AVZ и не обнаружил его. (Хотя файл карантина я переслал).SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\KL30CE.EXE','');
BC_ImportQuarantineList;
Меня смущает то, что AVZ ругался на файл 84.tmp в корне диска С.
Однако после всех процедур файл остается на месте.
Файл сохранён как 071204_072040_virus_4755542902a08.zip
Размер файла 584
MD5 6bfdc71ca1af28794ebbe40ba26db5f5
Последний раз редактировалось CandyMAN; 21.03.2008 в 17:54.
Если так, с него подозрения снимаются.Файл, который предлагается к карантину является изменяемым модулем антивируса Тренд.
Действительно, я его пропустил. Среди активных модулей его нет, так что можно просто удалить. Если есть желание проверить - закиньте на www.virustotal.com.Меня смущает то, что AVZ ругался на файл 84.tmp в корне диска С.
Посмотрите, что вам нужно из этого:
Лишнее рекомендуется отключить.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
I am not young enough to know everything...
так же как остальное http://virusinfo.info/showthread.php?t=4491
вы решили,что из этого вам нужно?>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
Вообще то сложно сказать... н опопробую. Может подскажете по выбору.
Эти службы нужны. К компьютеру периодически производится удаленное подключение по локальной сети и обслуживание дисков администраторами.>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
думаю это точно не нужно. NetMeeting не используется.>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
не надо, так как CD на машине нет, но поэтому и не мешает.>> Безопасность: разрешен автозапуск программ с CDROM
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
про эти ничего сказать не могу.>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
Я бы отрубил вот это:
Может, с администраторами посоветоваться?>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
Уважаемый(ая) CandyMAN, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.