Нет доступа к свойствам компа и Explorer

[Евгений02]

1. При загрузке компьютера ZA стала сообщать о попытках выхода в Интернет нескольких программ, которых раньше не было: spools.exe, autos.exe, winter.exe. После диагностики с помощью AVZ4 (по вашей схеме) последние две программы исчезли, но появились ksacre.exe, devadwp.exe и 0x57.exe.
2. AVZ4 работала без отключения восстановления системы (WinXP), так как доступ к свойствам компьютера (и Explorer) заблокирован (вирусом?).
3. На экране с интервалом в ~ 5 мин. появляется сообщение от Windows Security Alert о попытках неавторизованного копирования системы и предложение о загрузке антивирусной программы. Я отвечаю "нет". Если надо, могу послать скриншот сообщения.
4. Вспоминаю, что "Windows Security Alert" было темой присланного письма. Через The Bat! удалил письмо, не загружая его в комп. Но, видимо, в письме была какая-то хитрость.

[Bratez]

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\msanton.exe
O4 - HKLM\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - HKLM\..\Run: [version] C:\WINDOWS\system32\timoty.exe
O4 - HKCU\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - HKCU\..\Run: [froody] C:\WINDOWS\system32\timoty.exe
O4 - Startup: infos.exe
O4 - Startup: setings.exe
O4 - Global Startup: autos.exe
O4 - Global Startup: startup.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\skuns.dat

Не перезагружаясь после этого, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\timoty.exe','');
QuarantineFile('C:\WINDOWS\system32\bronto.dll','');
QuarantineFile('C:\WINDOWS\system32\msanton.exe','');
 QuarantineFile('C:\WINDOWS\system32\skuns.dat','');
 QuarantineFile('C:\Documents and Settings\All Users\Start Menu\Programs\Startup\startup.exe','');
 QuarantineFile('C:\Documents and Settings\AS\Start Menu\Programs\Startup\setings.exe','');
 QuarantineFile('C:\Documents and Settings\AS\Start Menu\Programs\Startup\infos.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntio256.sys','');
 QuarantineFile('C:\WINDOWS\system32\winter.exe','');
 QuarantineFile('C:\WINDOWS\system32\spools.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Start Menu\Programs\Startup\autos.exe','');
 DeleteFile('C:\Documents and Settings\All Users\Start Menu\Programs\Startup\autos.exe');
 DeleteFile('C:\WINDOWS\system32\spools.exe');
 DeleteFile('C:\WINDOWS\system32\winter.exe');
 DeleteFile('C:\WINDOWS\system32\ntio256.sys');
 DeleteFile('C:\Documents and Settings\AS\Start Menu\Programs\Startup\infos.exe');
 DeleteFile('C:\Documents and Settings\AS\Start Menu\Programs\Startup\setings.exe');
 DeleteFile('C:\Documents and Settings\All Users\Start Menu\Programs\Startup\startup.exe');
 DeleteFile('C:\WINDOWS\system32\skuns.dat');
DeleteFile('C:\WINDOWS\system32\msanton.exe');
DeleteFile('C:\WINDOWS\system32\timoty.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.

[Евгений02]

1. При загрузке файла карантина (zip) не понял, пошел ли он? Если можно, дайте знать.
2. Посылаю также новые логи

[PavelA]

Не видно Вашего карантина. Д.б.сообщение об успешной загрузке.

Добавлено через 1 минуту

Профиксить остатки:
O20 - AppInit_DLLs: C:\WINDOWS\system32\skuns.dat

[Bratez]

Карантин нужен обязательно. Еще один файл подозрительный надо проверить. После нажатия кнопки "Закачать" дождитесь сообщения об успешной загрузке.

[Евгений02]

Карантин нужен обязательно. Еще один файл подозрительный надо проверить. После нажатия кнопки "Закачать" дождитесь сообщения об успешной загрузке.

1.Зипованный файл карантина 12,6 МВ. Может, поэтому не качается?
2.После того как "пофиксишь", что надо сделать? Результат просто останется в компе? Или что-то прислать вам?

[Bratez]

Пришлите из карантина вот это:
C:\WINDOWS\system32\bronto.dll

[Евгений02]

Послал три строки из карантина, содержащие bronto. Новые логи посланы 23.11.
Если все чисто, достаточно периодического использования AVZ для профилактики или надо что-то менять в защите компа?

[Bratez]

bronto.dll - Backdoor.Win32.Small.ccj

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\bronto.dll');
 BC_DeleteFile('C:\WINDOWS\system32\bronto.dll');
ExecuteSysClean;
ClearHostsFile;
BC_Activate;
RebootWindows(true);
end.

Пофиксите в HijackThis:

Код:

O2 - BHO: (no name) - {D27987B8-7244-4DE0-AE10-39B826B492F1} - C:\WINDOWS\system32\bronto.dll

Сделайте для контроля новые логи, начиная с п.10 правил.

Добавлено через 4 минуты

Рекомендуется отключить все что вам не нужно из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX

[Евгений02]

bronto.dll - Backdoor.Win32.Small.ccj


Добавлено через 4 минуты

Рекомендуется отключить все что вам не нужно из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX

Спасибо за очередное сообщение, но я не самый опытный пользователь. Поэтому прошу объяснить:
1. Что означает первая строка в вашем письме?
2. Где отключить эти красненькие строчки?
3. Новые логи присоединил.

[rubin]

Первая строка - просто для информации.
Скажите что не нужно - мы Вам поможем отключить, красные - это значит, что очень желательно бы отключить по крайней мере это

[V_Bond]

в логах чисто ... кроме нортон интернет секьюрити и зоне аларм ... которые мирно друг с другом жить не могут .... ничего зловредного ...
у вас есть локальная сеть ? компьютер домашний\рабочий ? в зависомости от этого напишем скрипт отключения потенциальных уязвимостей ...

[Евгений02]

в логах чисто ... кроме нортон интернет секьюрити и зоне аларм ... которые мирно друг с другом жить не могут .... ничего зловредного ...
у вас есть локальная сеть ? компьютер домашний\рабочий ? в зависомости от этого напишем скрипт отключения потенциальных уязвимостей ...

1. Базовый домашний компьютер + периодически подключаю ноутбук через модемную (ADSL) сеть . На ноуте - Vista (лиценз.), на домашнем - XP (вряд ли лиценз.). Кстати сказать, на ноуте сеть видна, на домашнем - нет. Может, поможете и в этом вопросе?
2. Удаленным доступом (из Интернета) не пользуюсь. Скачиваю в основном тексты, картинки, небольшие программы. Основная работа в Word, Exel, Fotoshop, Statistica. Почта - The Bat!, браузер - Mozilla, иногда - Explorer, если программа требует спецвыхода.
3. Основная защита - Зоне аларм. Нортон уже старый.

[V_Bond]

тогда такой скрипт ...

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

[Евгений02]

Все выполнил. Программа ответила - скрипт выполнен без ошибок. Хочется надеяться на длительное спокойствие...
Большое спасибо всем хелперам. Восхищен быстротой и четкостью вашей работы. Конечно, голосуем за ваш проект. Чем еще можно отблагодарить?

P.S. Есть одно "но" - вы выключили домашнюю сеть. Это можно вернуть или надо настраивать заново?

[V_Bond]

для всех желающих нам помочь

[Евгений02]

Есть одно "но" - вы выключили домашнюю сеть. Это можно вернуть или надо настраивать заново?

[V_Bond]

вы работаете в терминальном режиме ? все можно включить обратно ....

[Евгений02]

вы работаете в терминальном режиме ? все можно включить обратно ....

Работал с двумя компами (домашний + ноут) из ноута. Была проблема - из домашнего компа сеть не была видна. Сейчас ноут тоже не видит сеть (домашнюю), к Инету подключается. Домашняя сеть - через кабели, проходящие через ADSL-модем с 4 портами.

[V_Bond]

давайте включим все службы ...

Код:

begin
SetServiceStart('RDSessMgr', 2);
SetServiceStart('mnmsrvc', 2);
SetServiceStart('Schedule', 2);
SetServiceStart('SSDPSRV', 2);
SetServiceStart('TermService', 2);
SetServiceStart('RemoteRegistry', 2);
RebootWindows(true);
end.