-
Junior Member
- Вес репутации
- 62
Прошу помощи в очистке системы
Добрый день!
И вновь Тренд Офис Скан (корпоративный) пропускает заразу ...
Активность вируса: появляется окно DOS "svhost.exe". После закрыти открывается вновь.
Провел лечение в соответствии с правилами.
Имея уже некоторый опыт работы с virus.info предполагаю наличие заразы в файлах:
c:\winnt\system32\mscf32.dll
C:\WINNT\AUTOLO~1\AL2DLL.dll
C:\WINNT\System32\Drivers\dump_atapi.sys
C:\WINNT\System32\Drivers\dump_WMILIB.SYS
C:\WINNT\System32\NHOSTNT4.dll
C:\Program Files\WinPcap\rpcapd.exe
Только это похоже не все, а может что-то лишнее назвал.
Поэтому не желая рисковать обращаюсь к Вам за помощью.
Файл сохранён как 080125_044531_virus_4799bdcb3135a.zip
Размер файла 138389
MD5 7e5cf10119d74fbed8304fc5f53842b3
Это файл карантина, созданный AVZ при выполнении стандартных скриптов.
Возможно это пригодится или ускорит работу.
Последний раз редактировалось CandyMAN; 12.05.2008 в 13:15.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\hc.pif','');
QuarantineFile('C:\msdos.pif','');
QuarantineFile('yes.exe','');
QuarantineFile('c:\winnt\system32\mscf32.dll','');
QuarantineFile('C:\Program Files\STARR\wsys.exe','');
DeleteFile('c:\winnt\system32\mscf32.dll');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
C:\WINNT\AUTOLO~1\AL2DLL.dll - тоже в карантин
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
V_Bond
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\hc.pif','');
QuarantineFile('C:\msdos.pif','');
QuarantineFile('yes.exe','');
QuarantineFile('c:\winnt\system32\mscf32.dll','');
QuarantineFile('C:\Program Files\STARR\wsys.exe','');
DeleteFile('c:\winnt\system32\mscf32.dll');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
Выполнил скрипт, но новые файлы в карантин не попали.
Те, что были выложены ранее так и остались.
Могу выложить новые логи.
-
C:\msdos.pif, C:\WINNT\hc.pif, c:\winnt\system32\mscf32.dll -
Worm.Win32.Feebs.mx
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\winnt\system32\msja.exe','');
QuarantineFile('C:\WINNT\AUTOLO~1\AL2DLL.dll','');
DeleteFile('c:\winnt\system32\mscf32.dll');
DeleteFile('C:\msdos.pif');
DeleteFile('C:\WINNT\hc.pif');
DeleteFile('c:\winnt\system32\msja.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Bratez
C:\msdos.pif, C:\WINNT\hc.pif, c:\winnt\system32\mscf32.dll -
Worm.Win32.Feebs.mx
Именно этот вирус и стал показывать Тренд. Но он писал, что не может файл ни выелчить, ни удалить. Правда ругался только на mscf32.dll.
и непонятно ... вроде знает вирус, а остановить проникновение не может.
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\winnt\system32\msja.exe','');
QuarantineFile('C:\WINNT\AUTOLO~1\AL2DLL.dll','');
DeleteFile('c:\winnt\system32\mscf32.dll');
DeleteFile('C:\msdos.pif');
DeleteFile('C:\WINNT\hc.pif');
DeleteFile('c:\winnt\system32\msja.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
Скрипт и все действия выполню в понедельник ... Все компьютеры сотрудников выключены уже.
QuarantineFile('C:\WINNT\AUTOLO~1\AL2DLL.dll','');
Что касается этого пункта, то файл чист. Проверил через virustotal.com
Да и относится он к программе, которая не маскируется, только что место конечно себе нашла неподходящая, в папке винды. Думая я и с ней в понедельник разберусь ... без хозяйки не стал.
Что касается файлов из моего первого поста
C:\WINNT\System32\Drivers\dump_atapi.sys
C:\WINNT\System32\Drivers\dump_WMILIB.SYS
то они чудесным образом не обнаружились (
-
C:\WINNT\System32\Drivers\dump_atapi.sys
C:\WINNT\System32\Drivers\dump_WMILIB.SYS - оба являются частью Windows
-
-
Junior Member
- Вес репутации
- 62
Файл сохранён как 080127_235137_virus_479d6d69ee8a5.zip
Размер файла 186923
MD5 ca3fab804056904d57dd44595b079617
-
AL2DLL.dll - действительно чистый.
В AVZ откройте Менеджер Active Setup и удалите строчку с упоминанием c:\winnt\system32\msja.exe.
Сделайте новые логи для контроля.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
В AVZ откройте Менеджер Active Setup и удалите строчку с упоминанием c:\winnt\system32\msja.exe.
Не было этой строчки ...
Остальное приложено.
Последний раз редактировалось CandyMAN; 12.05.2008 в 13:15.
-
в логах нет ничего зловредного ....
какие-то проблемы остались ?
что из этого мспользуется ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
V_Bond
в логах нет ничего зловредного ....
какие-то проблемы остались ?
на первый взгляд проблем нет. Все работает достаточно стабильно.
что из этого используется ?
Это можно отключить:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
-
выполните скрипт ....
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
-