Нужна помощь.

**FreD** · 10.11.2007, 19:13

Доброго времени суток!

Возникла проблема. Периодически выскакивало окно "Windows Security Alert", которое периодически привязывалось к разным процессам (printer.exe, csrss.exe). После проверки Dr.Web (был найден и удален Trojan.Fakealert.357 и Trojan.StartPage.1505 в нескольких местах) окно перестало вылазить. Права администратора ограничены до сих пор.

Помогите вернуть управление системой.

Высылаю логи...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 10.11.2007, 19:42

Пофиксите в HijackThis:

Код:

O20 - AppInit_DLLs: sulimo.dat

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('sulimo.dat','');
 DeleteFile('sulimo.dat');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.

Что за программка Clicker? Если точно не уверены в ее безопасности, пришлите по правилам файл C:\Program Files\Clicker\Clicker.exe.

Обратите внимание на эти строки из вашего лога:

Код:

Файл успешно помещен в карантин (C:\Documents and Settings\FreD\Мои документы\Заработок\rsetup.exe)
C:\Documents and Settings\FreD\Мои документы\Заработок\rsetup.exe >>>>> Trojan-PSW.Win32.WebMoner.x  успешно удален
Файл успешно помещен в карантин (C:\Program Files\RusIP Transfer System\rusip.exe)
C:\Program Files\RusIP Transfer System\rusip.exe >>>>> Trojan-PSW.Win32.WebMoner.x  успешно удален

Это был троян, ворующий пароли WebMoney - надо сменить.

**FreD** · 11.11.2007, 18:03

Файл (clicker.exe) был найден в директории c:\document...\.housecall6.6\Quarantine\Clicker.ex e.bac_a03760. Выслать файл?
Права администратора вернулись.
Высылаю новые логи...

**rubin** · 11.11.2007, 18:07

Файлик вышлите

Добавлено через 2 минуты

Логи чистые, что Вам из этого не нужно?

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

**FreD** · 11.11.2007, 18:42

Файл выслал.
Файл сохранён как 071111_094058_virus_4737228a30da2.zip
Размер файла 853231
MD5 871638cf909f6d581bc4725272eca3ed

Что не нужно?
Я даже не знаю...

Точно не нужно:

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

А что за эти службы я не знаю.
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

**rubin** · 11.11.2007, 18:45

Службы терминалов (Terminal Services)
Данная служба предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах. Является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов.

Служба обнаружения SSDP (SSDP Discovery Service)
Включает обнаружение UPnP-устройств в домашней сети.

**FreD** · 11.11.2007, 18:47

И это тоже не нужно:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

**rubin** · 11.11.2007, 18:55

Код:

begin
SetServiceStart('Schedule', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RebootWindows(true);
end.

**FreD** · 11.11.2007, 19:01

Выполнил

Добавлено через 30 секунд

Что дальше?

**rubin** · 11.11.2007, 19:03

Файлик чистый - проблемы остались?

**FreD** · 11.11.2007, 19:04

Вроде нет!

Спасибо!

**rubin** · 11.11.2007, 19:06

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!