Обнаружен trojan-spy(keylogger), rootkit agent. Трояна вроде удалила, руткит не могу - и не запускается диспетчер(пишет, что отключен админом), не меняеся фон раб. стола. Помогите пожалуйста! заранее спасибо!
Обнаружен trojan-spy(keylogger), rootkit agent. Трояна вроде удалила, руткит не могу - и не запускается диспетчер(пишет, что отключен админом), не меняеся фон раб. стола. Помогите пожалуйста! заранее спасибо!
Вложение
Последний раз редактировалось Alcur; 10.06.2008 в 15:50.
Пофиксите в HijackThis:
Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ldr.exe,C:\WINDOWS\system32\idaw64.exe,C:\WINDOWS\system32\codeblocks.exe, O2 - BHO: BhoApp Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\WINDOWS\system32\bho.dll (file missing) O4 - HKLM\..\Run: [System32] C:\WINDOWS\system32\frmwrk.exe O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\windll32.exe internet.dll,LoadNetworkProfile O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\D19D~1\LOCALS~1\Temp\winlogon.exe
I am not young enough to know everything...
Пришлите карантин и повторите логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\bho.dll',''); QuarantineFile('C:\WINDOWS\system32\windll32.exe',''); QuarantineFile('C:\WINDOWS\system32\codeblocks.exe',''); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\WINDOWS\system32\ldr.exe',''); QuarantineFile('C:\WINDOWS\system32\idaw64.exe',''); QuarantineFile('C:\DOCUME~1\D19D~1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\frmwrk.exe',''); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); DeleteFile('C:\WINDOWS\system32\frmwrk.exe'); DeleteFile('C:\WINDOWS\system32\windll32.exe'); DeleteFile('C:\DOCUME~1\D19D~1\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\system32\bho.dll'); BC_ImportAll; BC_DeleteSvc('FCI') ; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Как описано в приложении 3 Правил
Карантин есть?
Карантин есть, но там ничего интересного.
Сделайте в AVZ: Файл - Восстановление системы - отметить п.5, 6, 8, 11 - Выполнить. И давайте новые логи.
I am not young enough to know everything...
C:\Program Files\Autodesk\Inventor 10\SDK\Samples\VB\Standalone Applications\ApprenticeServer\AssemblyTree\Assembl y Tree.exe
C:\Program Files\Autodesk\Inventor 10\SDK\Samples\VB\Standalone Applications\Inventor\iPart\UpdateiPartMem.exe
Только они попали в карантин, вроде чистые... повторите логи
Так. я щас отправляю логи по запросу Рубина в 16.30.
После этого делать восстановление 56811 и новые логи по запросу Братца?
Простите пожалуйста - не могу понять чьи указания делать... Да и логи долго делаются- вы успеваете еще попросить...Глаза разбегаются!
Последний раз редактировалось Alcur; 10.06.2008 в 15:50.
Надо было все действия сделать, потом логи
Ну да ладно. Сделайте восстановление, как я писал, и сообщите, есть ли положительный эффект.
I am not young enough to know everything...
По последним присланным Вами логам...
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Program Files\Consistent Software\NormaCS 1.0\pph.dll',''); BC_ImportQuarantineList; BC_QrFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); BC_QrSvc('FCI'); BC_DeleteSvc('FCI'); BC_Activate; RebootWindows(true); end.
Положительный эффект после восстановления ЕСТЬ! Дисп заработал, но только нас фоном проблемы -картинку выбрать дает,(раньше всё было неактивно), но на рабочем столе пусто. А этот руткит СЕЙЧАС не отсылает ли мои скриншоты и др. инфу в инет? Я этого боюсь и пароли жалко.
После выполнения последнего скрипта пришлите пожалуйста карантин.
Сейчас лог делается. Пришлю карантин одновременно с логами
После скрипта.Каринтин послала
меня уже с работы выгоняют. Можно ли завтра продолжить? Спасибо
Последний раз редактировалось Alcur; 10.06.2008 в 15:50.
.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); BC_DeleteSvc('FCI'); BC_Activate; RebootWindows(true); end.
В логах ничего зловредного не просматривается.
Что из этого вам нужно?остальное поправим
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Добрый День!
Мне надо, чтобы всё работало. Я могу эти службы запускать "вручную", если понадобится. Это поможет? ПК в ЛВС.
Добавлено через 39 минут
RemoteRegistry (Удаленный реестр) выкл, вручную
TermService (Службы терминалов) работает(не выключается вообще -неактивно), отключено
SSDPSRV (Служба обнаружения SSDP) раб, вручн.
Messenger (Служба сообщений) работает, авто.
Schedule (Планировщик заданий) раб, вручн.
mnmsrvc (NetMeeting Remote Desktop Sharing) откл, вручную,
RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) откл, вручную,
В таком состоянии сейчас у меня службы. Что неверно(если есть?).
И еще вопрос, Как узнать, отсылает ли руткит данные ?
Добавлено через 2 часа 20 минут
И еще вопрос, Как узнать, отсылает ли руткит данные ?
Последний раз редактировалось Alcur; 07.11.2007 в 12:41. Причина: Добавлено
Руткита уже нет, ничего отсылаться не должно.
только сейчас заметила!!! В моем компьютере появилась папка Веб-папки/мои узлы сети МСН, просит пароль и логин. Вчера этого г.. не было!!!!!Что это такое?
Добавлено через 1 минуту
Посоветуйте файервол попроще и что-нибудь для учета своего трафика, пожалуйста.
И еще. Нужно ли мне включить восстановление системы обратно?
заранее спасибо!
Последний раз редактировалось Alcur; 07.11.2007 в 13:02. Причина: Добавлено
Учет траффика - TrafficMeter
Фаерволлы - ZoneAlarm, Agnitum Outpost или комплексные решения - антивирус + фаерволл (например KIS 7.0)
Уважаемый(ая) Alcur, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.