Это уже другой копьютер. Подозреваю вирусы:
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\user\LOCALS~1\Temp\winlogon.exe
Ну наверняка еще много чего есть. Касперский нашел несколько, но наверняка не все. Прошу помочь.
Это уже другой копьютер. Подозреваю вирусы:
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\user\LOCALS~1\Temp\winlogon.exe
Ну наверняка еще много чего есть. Касперский нашел несколько, но наверняка не все. Прошу помочь.
Выполните скрипт и карантин пришлите:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\npf.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\grmnusb.sys',''); DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winlogon.exe'); BC_ImportAll; BC_QrFile('C:\WINDOWS\system32\drivers\npf.sys'); BC_QrFile('C:\WINDOWS\system32\drivers\grmnusb.sys'); BC_QrSvc('NPF'); BC_QrSvc('grmnusb'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось rubin; 30.12.2007 в 19:30.
Загрузил:
Результат загрузки
Файл сохранён как 071230_111326_virus_4777d1b66558f.zip
Размер файла 28652
MD5 99adb467c7a030946ee608e20865b6d8
Что делать дальше?
Насчет npf.sys подождем ответа ВирЛаба...
Добавлено через 1 час 41 минуту
Чисто... проблемы остались?
Что из этого не нужно? Отключить поможем...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Последний раз редактировалось rubin; 30.12.2007 в 22:00. Причина: Добавлено
Доброго времени суток! Продолжение.
После вашего сообщения, что все чисто, компьютер не включали. Сегодня включил чтобы поставить файрвол и отнять Администраторские права у пользователя. Обновил антивирусные базы. Касперский нашел вред на старом месте:
04.01.2008 20:59:19 Карантин: Файл C:\DOCUME~1\user\LOCALS~1\Temp\winlogon.exe, обнаружено: троянская программа Trojan-Proxy.Win32.Small.ig
Я немножко полазил ручками зная время заражения 30 дек 2007 13:43 и нашел еще вот такое дело C:\Windows\System32\w32sys15.exe в гугле пробивается как вирус, Касперский его не видит даже внутри переименованного и перенесенного в другое место файла, в реестре строка w32sys15.exe не ищется.
А еще прямо в корне валялось несколько tmp файлов со временем модификации равным времени заражения - удалил.
Может и еще чего есть, не знаю. Логи прилагаю.
Пофиксьте:
Пришлите по правиламКод:O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
C:\WINDOWS\Temp\~DFC91F.tmp
w32sys15.exe
Пофиксил, прислал по правилам
Результат загрузки
Файл сохранён как 080104_144051_virus_477e99d3b80bc.zip
Размер файла 496698
MD5 d60dbf166217c5c357aa3efc18e03964
Буду ждать ваших дальнейших инструкций
C:\WINDOWS\system32\w32sys15.exe Trojan.Roro
выполните скрипт ....
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\w32sys15.exe'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Выполнил. Что делать дальше?
Повторите логи.
Прилагаю логи
Подозрения вызывает вот это:
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe остатки вашего крека от сп1 ...
в логахничего подозрительного ....
Reset5 пофиксить надо. Всё равно бесполезен.
Может быть не к месту вопрос, но подезреваю, что все же как то связано с предшествующими событиями по данной теме.
Счел компьютер "чистым", поставил Outpost, настроил IE, почту, QIP через DropMyRights. Однако есть странность. Outpost не создает правила в режиме обучения для приложений iexplorer.exe и для explorer.exe и свободно их пускает. В списке приложений OutPost-а они вообще не прописываются, ни как доверенные, ни как пользовательский уровень. Перевел OutPost в режим блокировки, то же самое: правил нет, а эти друзья спокойно ходят на Яндекс. Добавли их ручками в список блокируемых приложений OutPost, перестали ходить. Установил оперу, пока оставил так и разрешил родителям пользоваться компом.
Внимание вопрос: может остался зловред который обеспечивает им вольную жизнь (и не только им, но и себе)? На других двух компах ровно этот же OutPost установился без таких странностей. Пробовал переустанавливать OutPost - остается то же самое странное поведение.
Их не было в списке доверенных приложений, когда они свободно ходили в Инет. Точно также проводил установку OutPost еще на двух компьютерах, никаких доверенных приложений при установке, все вопросы появляются когда приложение первый раз обращается в сеть.
возможно до этого стоял аутпост ? и сохранились правила ...
До этого стоял McAfee, но давно это было. Подчеркиваю что правил для этих приложений нет. А они ходят.
Точнее теперь правила есть, созданные руками, запрещающие, и они перестали ходить. Но самое главное, что меня беспокоит, не осталось ли зловредов, которые также свободно себя чувствуют. Я стал мнителен...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\w32sys15.exe - Trojan.PHP.Turame.a (DrWEB: Trojan.Roro)
Уважаемый(ая) Kroko.Dil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.