Лезут без конца

[alsoclean]

День добрый. Такая проблема: постоянно лезет при включении IE один и тот же адрес: http://85.255.119.93./dev......... У меня стоит AVAST! Связь блокирует но что то тут не так....

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
 QuarantineFile('C:\WINDOWS\system32\admparseh.exe','');
 QuarantineFile('C:\Install\rules.doc','');
 QuarantineFile('C:\WINDOWS\system32\X8shA381.exe','');
 QuarantineFile('C:\WINDOWS\system32\AClient.dll','');
 QuarantineFile('C:\Windows\xpupdate.exe','');
 QuarantineFile('C:\WINDOWS\system32\spools.exe','');
 QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
BC_ImportQuarantineList;
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

[alsoclean]

Пока что все по старому......

[Bratez]

Логи делать не нужно было, т.к. пока ничего не менялось, скрипт только собирает анализы.
Карантина вашего не вижу.

[alsoclean]

Прошу прощения- не сообразил. Отослал карантин

[Bratez]

admparseh.exe - Packed.Win32.PolyCrypt.d
AClient.dll - Packed.Win32.Morphine.a (модификация)

1. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\admparseh.exe');
 DeleteFile('C:\WINDOWS\system32\AClient.dll');
BC_ImportDeletedList;
BC_DeleteSvc('UPSRasMan');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

2. Пофиксите в HijackThis:

Код:

O2 - BHO: HttpGuard - {98B822AD-6BE7-49BC-B773-97240B774080} - C:\WINDOWS\system32\AClient.dll
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\system32\spools.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O20 - Winlogon Notify: atietaxx - C:\WINDOWS\
O20 - Winlogon Notify: atietaxx- - atietaxx.dll (file missing)

3. Удалите все задания в Планировщике.

Продолжение следует...

Добавлено через 4 минуты

Выполните следующий скрипт:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ansif.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\crypt32.dll','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\cryptnet.dll','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\cscdll.dll','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\wlnotify.dll','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\sclgntfy.dll','');
 QuarantineFile('C:\WINDOWS\system32\mmsvc32.exe','');
 QuarantineFile('C:\WINDOWS\system32\adptifl.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пришлите новый карантин по правилам.

[alsoclean]

Все проделал.

[Bratez]

C:\WINDOWS\SYSTEM32\crypt32.dll
C:\WINDOWS\SYSTEM32\cryptnet.dll
C:\WINDOWS\SYSTEM32\cscdll.dll
C:\WINDOWS\SYSTEM32\wlnotify.dll
C:\WINDOWS\SYSTEM32\sclgntfy.dll
Этих файлов в карантине не оказалось, хотя указано, что они добавлены.
Поищите их вручную через AVZ: Сервис - Поиск файлов на диске
и пришлите согласно приложению 2 правил.

[alsoclean]

Ушел

[Bratez]

Ладно, оставим их, очевидно это настоящие файлы windows, непонятно только, почему они отображены в логе HijackThis...
Выполните такой скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\ansif.exe');
 DeleteFile('C:\WINDOWS\system32\adptifl.dll');
BC_ImportDeletedList;
BC_DeleteSvc('W32TimeTlntSvr');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\system32\mmsvc32.exe

и сделайте новые логи.

[alsoclean]

Последний

[Bratez]

Больше ничего подозрительного не видно.
Как чувствует себя пациент?

И еще посмотрите это:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Что нужно - скажите, остальное поправим.

Добавлено через 5 минут

Да, чуть не забыл: задания в Планировщике вы так и не удалили.
Это можно сделать через Панель управления - Назначенные задания, либо через AVZ: Сервис - Менеджер планировщика заданий.

[alsoclean]

Благодарю - пациент чувствует себя неплохо.
Насчет служб.....пожалуй (Task Scheduler) и CDROM
Остальное не имеет для меня значения

Планировщик стер - спасибо за напоминание

[Bratez]

Вот скрипт для поправки:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

P.S. Если компьютер в локальной сети с использованием общего доступа к файлам, то анонимного пользователя запрещать не надо. В этом случае уберите первую строчку скрипта после begin.

[Muzzle]

Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!