Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Подозрение на трояны (заявка № 12288)

  1. #1
    Junior Member Репутация
    Регистрация
    09.09.2007
    Сообщений
    10
    Вес репутации
    38

    Thumbs up Подозрение на трояны

    Недавно закрыли smpt-порт, так как с моего компьютера рассылался спам. Почистил систему avz, ad-aware, но есть подозрение что не до конца.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\Regsys.exe','');
     QuarantineFile('C:\WINDOWS\System32\winlogin32.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    09.09.2007
    Сообщений
    10
    Вес репутации
    38
    В карантине нет этих файлов, а есть один с расширением sys

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Просто пришлите весь карантин после выполнения скрипта.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    09.09.2007
    Сообщений
    10
    Вес репутации
    38
    Я выслал, дошло?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Ничего вредоносного не найдено.
    Для зачистки мусора пофиксите в HijackThis:
    Код:
    O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
    O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl29bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} - 
    O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl56bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} - 
    O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)
    и выполните скрипт в AVZ:
    Код:
    begin
    RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','cpanel');
    RebootWindows(true);
    end.
    А еще неплохо бы закрыть потенциальные уязвимости:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    Что-то из этого используете?
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    09.09.2007
    Сообщений
    10
    Вес репутации
    38
    Цитата Сообщение от Bratez Посмотреть сообщение
    Ничего вредоносного не найдено.
    Для зачистки мусора пофиксите в HijackThis:
    Код:
    O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
    O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl29bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} - 
    O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl56bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} - 
    O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)
    и выполните скрипт в AVZ:
    Код:
    begin
    RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','cpanel');
    RebootWindows(true);
    end.
    А еще неплохо бы закрыть потенциальные уязвимости:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    Что-то из этого используете?

    Как узнать или почитать что нужно из служб, а что нет. Заранее спасибо.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Ваш вопрос наводит на мысль, что если отключить все перечисленное, кроме пожалуй автозапуска CD, вы этого николько не заметите Зато повысится безопасность и даже чуть-чуть производительность вашего компьютера. Для этого выполните следующий скрипт:
    Код:
    begin
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    А почитать о службах можно в соответствующих разделах форума - посмотрите ЧаВо и разделы про Windows, была про это тема.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    09.09.2007
    Сообщений
    10
    Вес репутации
    38
    После всех процедур, проделанных вчера
    Сегодня утром Kaspersky выдал
    c:\windows\system32\spoolsvv.exe
    инфицирован вирусом
    trojan-proxy.win32.agent.om

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Без СП2 в сети долго не живут.
    Делайте новые логи по Правилам. Будем смотреть, что теперь поймали.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    09.09.2007
    Сообщений
    10
    Вес репутации
    38
    А как поставить sp2?

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    Цитата Сообщение от PavelA Посмотреть сообщение
    Без СП2 в сети долго не живут.
    Делайте новые логи по Правилам. Будем смотреть, что теперь поймали.
    а затем ставить СП2 ... лучше на чистую систему...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    Можно и на эту. Если винда лицензионная, то вам на виндус упдэйт.

  15. #14
    Junior Member Репутация
    Регистрация
    09.09.2007
    Сообщений
    10
    Вес репутации
    38
    Cureit вчера перед созданием логов в безопасном режиме нашел srvany.exe в system32. Хотя интуитивно - все чисто, может быть остались какие-то куски заразы? Также высылаю логи.
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    в логах чисто....

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Винда, похоже, нелицензионная. После проверки Cure-It, если он удалил srvany.exe, то могла сломаться регистрация системы. Будьте готовы к переустановке.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    09.09.2007
    Сообщений
    10
    Вес репутации
    38
    srvany нет на диске, но система работает и вроде пока (тьфу-тьфу-тьфу)
    все нормально

    Добавлено через 1 минуту

    Насчет лицензионности винды - не знаю. Покупал комп с уже установленной виндой.
    Меня интересует что за перехватчики root в логах появляются всякие там sptd.sys и прочие
    Последний раз редактировалось Roman67; 11.09.2007 в 18:32. Причина: Добавлено

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от Roman67 Посмотреть сообщение
    Насчет лицензионности винды - не знаю. Покупал комп с уже установленной виндой.
    Меня интересует что за перехватчики root в логах появляются всякие там sptd.sys и прочие
    sptd.sys - это нормально. Alchogol установлен, либо daemon tools
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    09.09.2007
    Сообщений
    10
    Вес репутации
    38
    А чего бояться от последствий удаления srvany?
    И еще велика ли опасность заразиться если я сижу только на проверенных сайтах?

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    заразиться можно даже заходя только на на проверенных сайты .... да еще с вашей дырявой СП1 .... необходимо поставить сп2 и все последующие обновления ....

  • Уважаемый(ая) Roman67, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Подозрение на трояны
      От Ариэль в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 06.03.2011, 02:47
    2. Подозрение на трояны
      От pluG089 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 27.05.2010, 05:32
    3. Подозрение на трояны
      От Denis79 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.03.2010, 16:21
    4. Подозрение на трояны
      От HyKJIeC в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 19.09.2009, 21:27
    5. Подозрение на трояны
      От Abyzz в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.11.2008, 20:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00436 seconds with 17 queries