У меня на домашнем ПК под WinXP SP2 прочно прописался BackDoor.Haxdoor.440. Симптомы следующие:
* заблокирован запуск диспечера задач
* заблокировано открытие настроек нативного Internet Connection Firewall
* часть программ не запускается (например, ATI`шный менеджер дисплеев)
* при нажатии Ctrl+C в половине случаев вместо копирования в clipboard текст как-то странно модифицируется (явная попытка перехвата).
Подозреваю, что последние два симптома могут быть не от Haxdoor, а от кого-то из его "компаньонов". Когда после чистки системы в безопасном режиме CureIt`ом из всех вирусов и троянцев остаётся только Haxdoor, из симптомов продолжают проявляться только первые два.
От проверки CurIt`ом в Normal Mode вообще нет эффекта - после перезагрузки все инфекции обнаруживаются в тех же файлах. При проверке в Safe Mode после перезагрузки (что в Safe, что в Normal Mode) возвращается только BackDoor.Haxdoor.440 в ovrscn.dll. Его CureIt всё время обещает исцелить после рестарта системы, но инфекция всё равно остаётся. AVZ пытался файл закарантинить, но безуспешно.
Вот такая ситуация. Надеюсь на помощь профессионалов. Логи прилагаю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
И второй карантин следом - если туда что-то попадет.
Добавлено через 1 минуту
Затем пофиксите в HijackThis:
Код:
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\rsh.dll (file missing)
O18 - Protocol: HTLFP - {03B7A5D4-96B0-4316-95F8-072D326A58F1} - (no file)
O18 - Protocol: vfsp - (no CLSID) - (no file)
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bot.dll
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
и сделайте новые логи.
Добавлено через 2 часа 16 минут
Карантин получен, C:\WINDOWS\System32\DRIVERS\tcpip.sys вероятно патченный (изменен 21.09.2007), отправлен на анализ в вирлаб. Ждем новых логов после выполнения всего вышеуказанного.
Последний раз редактировалось Bratez; 22.09.2007 в 17:22.
Причина: Добавлено
Файлы карантина выслал. В первый раз в карантин попало только два файла (других уже не было, видимо их удалил AVZ или CureIt), во второй раз ни одного.
Новые логи сделал, они приаттачены к этому сообщению.
O18 - Protocol: vfsp - (no CLSID) - (no file)
O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
3.Перехваты только от spdt остались, но ведь это и должно быть если эмулятор в системе типа алкоголя. Есть эмулятор в системе ? Если нет, то уже интересней
3.Перехваты только от spdt остались, но ведь это и должно быть если эмулятор в системе типа алкоголя. Есть эмулятор в системе ? Если нет, то уже интересней
Установлен Nero Image Drive, но сейчас он отключён.
Добавлено через 3 часа 7 минут
Скипт выполнил, записи пофиксил. Правда, "O18 - Protocol: vfsp - (no CLSID) - (no file)" при каждой новой проверке обнаруживает заново.
Диспетчер задач разблокирован, но Internet Connection Firewall по-прежнему не открывается - выводится сообщение о непознанной ошибке.
Карантин выслал.
Последний раз редактировалось Netrat; 23.09.2007 в 19:00.
Причина: Добавлено
что из этого вам нужно ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: