Модифицированный Win32/Fuclip троян

[Nats]

Заражены все файлы с расширением *exe

[rubin]

Запишите на компакт диск (желательно с другой, здоровой машины) лечащую утилиту CureIt, сделать с компакт диска полную проверку

[Nats]

Я уже делала полную проверку компа этой утилитой. Что дальше? Основная масса зараженных файлов у меня в карантине сидит. (стоит антивирус нод 32)

[V_Bond]

пофиксите ...

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\svch8u1.dll
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\makehm.exe','');
 QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
 QuarantineFile('C:\WINDOWS\system32\svch8u1.dll','');
 QuarantineFile('C:\WINDOWS\system32\ldr.exe','');
 DeleteFile('C:\WINDOWS\system32\ldr.exe');
 DeleteFile('C:\WINDOWS\system32\svch8u1.dll');
 DeleteFile('C:\WINDOWS\system32\svshost.dll');
 DeleteFile('C:\WINDOWS\system32\makehm.exe');
 DeleteFile('C:\Documents and Settings\Natasha_\Local Settings\Temp\tmp_98.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
+ добавте в карантин несколько файлов зараженных вирусом ...

[Nats]

Пофиксила один из указанных кодов, второго (O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing) в списке не оказалось
Еще не знаю как добавить в карантин файлы из карантина нод 32, как нужно вводить имя файла? При обнаружении нодом они были удалены и помещены в карантин.

[V_Bond]

в карантине ....
C:\Documents and Settings\Natasha_\Local Settings\Temp\tmp_98.exe -Trojan.MulDrop.9286
повторите логи ....

[Nats]

Обновила AVZ

[Bratez]

Все в порядке, немного мусора осталось.

Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Выполните скрипт в AVZ:

Код:

begin
 BC_DeleteSvc('ntoss.sys');
 BC_DeleteSvc('ntosnh.sys');
 BC_DeleteSvc('asc3550o');
BC_Activate;
RebootWindows(true);
end.

Посмотрите, нужно ли вам что-то из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Лишнее отключим.

[Nats]

Сделала все что вы сказали, высылаю логи и карантин на всякий случай

Из того , что вы написали не нужно только
(Диспетчер сеанса справки для удаленного рабочего стола)
остальное я бы оставила

[Nats]

Еще вопрос - Изначально проверку системы делала нод 32, очень много файлов было удалено и помещено в карантин.Файлы из карантина НОД32 можно удалить?

[V_Bond]

что -то опять полно ....
пофиксите ...

Код:

O4 - HKCU\..\Run: [noskrnl] C:\WINDOWS\noskrnl.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Natasha_\LOCALS~1\Temp\winlogon.exe

выполните скрипт ...

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\noskrnl.exe','');
 QuarantineFile('C:\DOCUME~1\Natasha_\LOCALS~1\Temp\winlogon.exe','');
 DeleteFile('C:\WINDOWS\noskrnl.exe');
 DeleteFile('C:\DOCUME~1\Natasha_\LOCALS~1\Temp\winlogon.exe');
 BC_DeleteSvc('qqd.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно пиложения 3 правил ...
повторите логи ...

[Nats]

Все сделала, высылаю логи и карантин

[moderated! карантин нужно прислать согласно приложения 3 правил]

[V_Bond]

в логах чисто ....
осталось ... убрать карантин из сообщения ... и загрузить по ссылке над темой ...
и разобратся с этим ... что вами используется ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

[Nats]

Карантин выслала как требуется, извиняюсь за ошибку.
Мной используется все, кроме службы удаленного доступа.
И еще мне не ответили, удалять ли файлы из карантина нод 32, которым я изначально проверяла систему?

[V_Bond]

файлы удаляйте ....
насчет служб .... не понял .... у вас машина в сети , ипользуете терминальный режим и сисадмин удаленно администрит ваш компьютер ?

[Nats]

Нет, у меня машина не в сети, удаленный доступ не используется, как и терминальный режим (я вообще не знаю что это такое))))

[V_Bond]

тогда можно оставить только автозапуск ...
выполните скрипт ...

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

[Nats]

Большое спасибо за помощь!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\natasha_\\doctorweb\\quarantine\\connect ionservices.dll - Trojan.Win32.ConnectionServices.m (DrWEB: Trojan.BitAcc)