помогите вылечить комп!

[tenzor]

Логи прилагаю, прошу посмотреть и дать рекомендации.

[RiC]

АВЗ - "Файл" => "Выполнить скрипт"

Код:

begin
 SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\setnote.cpl','');
 QuarantineFile('C:\WINDOWS\svchost.exe','');
 QuarantineFile('C:\DOCUME~1\81F6~1\LOCALS~1\Temp\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\StarOpen.SYS','');
 QuarantineFile('C:\WINDOWS\system32\simp_dll.dll','');
 BC_DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
 BC_DeleteFile('C:\DOCUME~1\81F6~1\LOCALS~1\Temp\winlogon.exe');
 BC_DeleteFile('C:\WINDOWS\svchost.exe');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки пришлите карантин по правилам и повторите логи.

[tenzor]

Карантин загрузил.
Логи прилагаю.
Прошу посмотреть.

Ну очень прошу посмотреть!

[tenzor]

Посмотрите логи, пожалуйста!

[Bratez]

Пришлите по правилам файл C:\WINDOWS\system32\ntoskrnl.exe

[PavelA]

Выполнить скрипт в Safe Mode, предварительно отключив антивирус:

Код:

begin
 ClearQuarantine;
 QuarantineFile(\WINDOWS\system32\ntoskrnl.exe',' ');
 BC_QrFile('\WINDOWS\system32\ntoskrnl.exe');
BC_Activate;
RebootWindows(true);
end.

Подготовить на всякий случай диск с дистрибутивом ХР.
Если \WINDOWS\system32\ntoskrnl.exe попадет в карантин, то загрузить.

[RiC]

Скачайте Cureit beta - ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe и проверьте им диск с: всё что найдет нужно вылечить.
После повторите 1-й из логов AVZ.

[tenzor]

Пришлите по правилам файл C:\WINDOWS\system32\ntoskrnl.exe

файл ntoskrnl.exe загрузил, Cureit betta выполняется.
Посмотрите файл пожалуйста.

Подготовить на всякий случай диск с дистрибутивом ХР.

А что диск понадобиться, есть вероятность?
А то ведь я лечу не свой компьютер, а на расстоянии посредством e-mail и телефона....
Но повторная установка XP на расстоянии может уже не получиться.

[V_Bond]

А то ведь я лечу не свой компьютер, а на расстоянии посредством e-mail и телефона....

C:\WINDOWS\system32\ntoskrnl.exe - Trojan.Win32.Patched.ah - касперский лечит ....

[Bratez]

После лечения ntoskrnl.exe выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
 DeleteFile('C:\DOCUME~1\81F6~1\LOCALS~1\Temp\winlogon.exe');
 DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

и сделайте новые логи.

[RiC]

C:\WINDOWS\system32\ntoskrnl.exe - Trojan.Win32.Patched.ah

Собственно поэтому и Cureit-beta, потому как пока не вылечим ntoskrnl.exe продолжать смысла нет.
simp_dll.dll кстати прилеплена в хвост к ntoskrnl.exe и распаковывается оттуда при запуске последнего.

[PavelA]

А что диск понадобиться, есть вероятность?
А то ведь я лечу не свой компьютер, а на расстоянии посредством e-mail и телефона....

Это желательно в первом сообщении писать.
По делу - данную болячку лечит Касперский 7 (триал тоже), Cureit-beta.
Одно из этих скачиваем и запускаем.

[tenzor]

Curit-beta скачали и прогнали, вирус был обнаружен в шести местах.
Свежие логи сейчас будут.

[tenzor]

логи прилагаю

[PavelA]

Профиксить:

Код:

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\81F6~1\LOCALS~1\Temp\winlogon.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - shell32.dll (file missing)

Выполнить скрипт:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\svchost.exe','');
 DeleteFile('C:\WINDOWS\svchost.exe');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);

Загрузить если что-то попадет в карантин. 
Новые логи прикрепить к теме.
end.

[tenzor]

Карантин загружен, Логи прилагаются.

[PavelA]

Логи чистые. Остается закрыть дырки:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Если что не нужно отпишите, дадим скрипт чтобы закрыть.

[tenzor]

Компьютер домашний, выход в интернет через Ethernet (вроде как домовая сеть), так что, наверное, можно все закрывать.
А какая из этих служб потенциально может быть нужна?
Я думаю, что все можно закрывать.

[PavelA]

Выполнить скрипт:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.

Если вдруг что-то не заработает, обращайтесь, включим назад.

[tenzor]

Вроде как нормально работает после закрытия уязвимостей.
Еще сейчас поставим чохом все обновления для ХР, и будем надеятся, что все будет ОК.
Всем спасибо за помощь!