Атаки на hosts и брандмауэр

**instance** · 18.12.2007, 13:36

Проактивная защита KAV7 периодически (при загрузке системы и потом каждые полчаса-час) сообщает о попытке модификации файла hosts процессом c:\windows\system32\svchost.exe, при этом сканирование KAV'ом ничего не дает. Также центр безопасности после каждой перезагрузки сообщает о выключенном брандмауэре. В hosts реально затыкаются на 127.0.0.1 microsoft.com, kaspersky.com, norton.com и т.п.
В папке C:\windows файла svchost.exe нет, он, как и положено в c:\windows\system32\, имеет размер 14 336 байт. Какая-то служба вредоносная?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 18.12.2007, 13:41

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\Program Files\MailGuard\mgtray.exe','');
 QuarantineFile('D:\Program Files\MailGuard\mg01.dll','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\svchost.exe','');
 DeleteFile('C:\WINDOWS\svchost.exe');
 BC_DeleteFile('C:\WINDOWS\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать карантин, согласно Правил.

Сделать новые логи.

**Bratez** · 18.12.2007, 13:48

После скрипта от PavelA:
Очистите временные файлы IE.
Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [MStask] C:\WINDOWS\svchost.exe
O20 - Winlogon Notify: Bcvpeqw - C:\WINDOWS\

Выполните скрипт в AVZ:

Код:

begin
BC_QrSvc('asc3550u');
BC_DeleteSvc('asc3550u');
BC_Activate;
RebootWindows(true);
end.

А потом карантин и логи...

**instance** · 20.12.2007, 12:44

Карантин в ответ на пост от PavelA.
MailGuard (mgtray.exe и mg01.dll) - вне подозрений: программа используется давно, автора знаю лично.

TortoiseSVN - клиент системы контроля версий.
Этих я в карантин не включил - не пролазят.

[moderated: Запрошенные файлы нужно присылать согласно приложения 3 правил]

**instance** · 20.12.2007, 12:50

после скриптов от BRATEZ..
кстати, проблема, кажется ушла...

**Bratez** · 20.12.2007, 14:15

Больше ничего подозрительного.
Рекомендуется отключить все что вам не нужно из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

**CyberHelper** · 22.02.2009, 03:10

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.nl (DrWEB: Trojan.Proxy.2486)

Атаки на hosts и брандмауэр (заявка № 15427)

Опции темы

Атаки на hosts и брандмауэр

Итог лечения

Похожие темы

Брандмауэр Висты

Брандмауэр

После атаки: брандмауэр и сетевые платы не включаются

Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vi

Что такое брандмауэр?

Ваши права в разделе