-
Junior Member
- Вес репутации
- 63
Trojan.Packed.142
Операционная система: Windows XP Home Edition с интегрированным Service Pack 2
Версия Dr. Web: 4.33 с обновлением 01.09.2007 в 12:00
На компьютере наблюдаются: зависание Internet Explorer, задержки при переключении между окнами, «тормоза» при запуске программ и открытии файлов, в «Диспетчере задач» 7 процессов svchost.exe, один из которых загружается до 40 % при выходе в Интернет.
При сканировании в безопасном режиме и отключенном восстановлении системы был обнаружен Trojan.Packed.142 в виде файла c/windows/system32/gme.exe.exe
После его удаления ничего не изменилась. Последующая проверка жесткого диска программой cureit-beta не показала наличие вирусов (я запускал сканер в безопасном режиме с отключенным восстановлением системы с локального диска). Я выполнил инструкции, содержащиеся на сайте http://helpme.virusinfo.info/
Логи от AVZ и HijackThis находятся в архиве по адресу http://moroz17.narod.ru/log.rar
Пароль: super
Прошу помочь мне в обнаружении этого вируса.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
присоедините логи к теме как написано в правилах ....
-
-
Собственно, какая проблема присоединить файлы как указано в правилах?
-
-
Junior Member
- Вес репутации
- 63
Последний раз редактировалось MihailKrasnodar; 15.08.2008 в 00:26.
-
выполните скрипт ...
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Program Files\Iconic Tray\it.exe','');
QuarantineFile('C:\WINDOWS\system32\systl7.dll','');
QuarantineFile('C:\WINDOWS\bittorrent.exe','');
QuarantineFile('c:\program files\common files\microsoft shared\web folders\ibm00002.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил....
-
-
Junior Member
- Вес репутации
- 63
Файл сохранён как 070903_141026_virus_46dc5c22f18f3.zip
Размер файла 69631
MD5 08ab18d77fb03e69d6d252c2229bfff9
-
C:\Program Files\Iconic Tray\it.exe -чистый
c:\program files\common files\microsoft shared\web folders\ibm00002.dll Trojan.PWS.Sinowal.CA (BitDefender)
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\bittorrent.exe');
DeleteFile('c:\program files\common files\microsoft shared\web folders\ibm00002.dll');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
попробуйте поискать при помощи AVZ -ceрвис-поиск файлов на диске C:\WINDOWS\system32\systl7.dll если найдется пришлите согласно правил...
повторите логи....
-
-
Junior Member
- Вес репутации
- 63
Скрипт выполнил.
Файл C:\WINDOWS\system32\systl7.dll не найден.
Прикрепляю обновлённые логи.
Последний раз редактировалось MihailKrasnodar; 15.08.2008 в 00:26.
-
Больше ничего вредоносного не видно.
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\systl7.dll
И вот это желательно поправить:
Код:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
Bratez
И вот это желательно поправить:
Код:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Извиняюсь за неграмотность. Подскажите, каким образом это подправляется?
-
Сообщение от
MihailKrasnodar
Извиняюсь за неграмотность. Подскажите, каким образом это подправляется?
элементарно, из лога вот готовый скрипт:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
Чтобы уменьшить шанс заражения, советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!
Удачи!
-