-
Junior Member
- Вес репутации
- 60
Троян, Руткит и шпион одновременно
Здравствуйте!
28дек07 Касперский 4.5 (последнее обновление 23окт07 - закончилась лицензия) обнаружил Trojan.Win32.Agent.asu в файле ..\system32\DefLib.sys.
14янв08 После загрузки стало появляться окошоко: "Работа мастера регистрации невозможна, поскольку необходимые сведения о системе отсутствуют или недоступны."
16янв08 В Диспетчере задач увидел процессы w32sys5.exe, w32sys7exe, w32sys15.exe, aspnet_state.ex. Остановил их, удалил файлы w32sys...exe
17янв обнаружил, что "исполняемый файл" службы MDM (не запущенной) С:\WINNT\system32\w32sys7.exe
Отсортировав по дате, последние файлы проверил на сайте Касперского:
~tmp1174.exe (13.11.2007, 3 082 b) Trojan-Downloader.Win32.Small.gqc
necsort.sys (28.12.2007, 8 192 b) Rootkit.Win32.Agent.sh
winlogon.exe (28.12.2007, 32 768 b) Trojan-Proxy.Win32.Small.ig
Kaspersky Online Scanner нашёл:
Оперативная Память:
[208] WINLOGON.EXE => C:\WINNT\system32\bootrom8.dll Trojan-Spy.Win32.Banker.hef
[868] IEXPLORE.EXE => C:\WINNT\system32\bootrom8.dll Trojan-Spy.Win32.Banker.hef
Важные объекты:
C:\WINNT\Microsoft.NET\Framework\v1.1.4322\aspnet_ state.exe Trojan-Downloader.Win32.Agent.hhj
C:\WINNT\system32\pspv.exe not-a-virusSWTool.Win32.PassView.160
Мой компьютер:
в Temporary Internet Files\..\..\other-archive.narod[1] Trojan-Downloader.JS.Remora.bp
C:\sysbvkn.exe Packed.Win32.Tibs.dc
Я пытался удалять ссылки на инфицированные файлы из реестра, удалял сами файлы, но проблемы оставались.
21янв, следуя Вашей инструкции, проверил CureItом:
kdshq.exec:\winnt\system32Модификация Trojan.Packed.156Перемещен.ntos.exec:\winnt\system32Trojan.Proxy.2634Удален.
Сейчас установил Kaspersky Internet Security 7, и с виду всё спокойно, но я боюсь, что установленные сверху антивирусы заразу могут не узнать, кроме того большую часть предупреждений Касперского я не понимаю - не спец
Последний раз редактировалось АнтонМГ; 12.06.2010 в 14:15.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Судя по логам, зловредов у вас не осталось, только следы.
Да еще испорчены системные службы Alerter, MDM и RasMan.
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=c:\winnt\system32\userinit.exe,c:\winnt\system32\regwiz.exe,
O2 - BHO: Editor plugin - {5C6D29BE-AFF8-4cb9-B9F9-EA3289051E73} - drive01.dll (file missing)
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINNT\system32\svshost.dll (file missing)
Добавлено через 5 минут
Что касается служб, то первые две вряд ли вам когда-нибудь понадобятся, а вот последняя - это Диспетчер подключений удаленного доступа. Для его восстановления следует экпортировать с такой же, но здоровой системы ключ реестра HKLM\System\CurrenControlSet\Services\RasMan и импортировать в свой реестр.
Последний раз редактировалось Bratez; 23.01.2008 в 14:33.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Что дальше?
Благодарю за хорошее известие. HiJackом профиксил,
а как импортировать-экспортировать?
важно, чтобы виндоуз была точно такая же? я боюсь, что не найду такой... везде ХР
может вручную скажете, что добавить?
если не восстановить этого диспетчера, что будет?
и главное: как дальше защищаться?
чтобы не на каждое открытие браузера предупреждение выскакивало, но и чтобы не просмотреть никого?
-
Экспортировать из regedit - выделить нужный ключ, Файл - Экспорт... Сохраняется *.reg файл. Для импорта достаточно сделать двойной клик на этом файле и согласиться с предложением добавить в реестр. Вот только не знаю, подойдет ли ключ от ХР. Попробовать-то можно, хуже от этого не станет.
Если у вас интернет сделан по локалке, то в принципе RasMan вам тоже не нужен, и можно этим не морочиться.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
ещё раз
спасибо, всё понял.
Ещё только забыл спросить (раньше такого не было):
при наборе в IE адреса, на котором нет сайта, открывается страница с рекламой "родственных сайтов" или женщин, тут же пытается открыться ещё одно окно... Это может быть проблемой в моём компе?
И на будущее всё-таки, пожалуйста, дайте совет: Касперский7, avz, AVG, Panda, ...?
-
при наборе в IE адреса, на котором нет сайта, открывается страница с рекламой "родственных сайтов" или женщин, тут же пытается открыться ещё одно окно... Это может быть проблемой в моём компе?
Хм... похоже, мы что-то упустили. Сделайте еще раз логи, посмотрим.
Добавлено через 5 минут
Касперский7, avz, AVG, Panda, ...?
AVZ в этом списке лишний, т.к. не выполняет функции постоянной защиты, а предназначен для исследования и лечения зараженной системы. Лично я предпочитаю KAV/KIS, также неплохой вариант DrWeb. Панду не советую.
Последний раз редактировалось Bratez; 23.01.2008 в 16:17.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
После вчерашних манипуляций стало ещё появляться окно установки нового оборудования (неизвестного, никаких драйверов для него нет) - я выбрал "отключить оборудование".
Логи в приложении.
Последний раз редактировалось АнтонМГ; 12.06.2010 в 14:15.
-
Я предложу убрать вот этот мусор:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111111157}');
StopService('MDM');
DeleteService('MDM');
StopService('Fax');
DeleteService('Fax');
StopService('Alerter');
DeleteService('Alerter');
RebootWindows(true);
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
переадресация остаётся
мусор убрал, но всё остальное по-прежнему,
разве что при загрузке не появляется ошибка Мастера регистрации...
на всякий случай логи...
прошу, скажите, как дальше жить
интернет-банком, например, можно пользоваться?
Последний раз редактировалось АнтонМГ; 12.06.2010 в 14:15.
-
Мусор не убрался. Выполните такой скрипт:
Код:
begin
BC_DeleteSvc('MDM');
BC_DeleteSvc('Fax');
BC_DeleteSvc('Alerter');
BC_Activate;
RebootWindows(true);
end.
Посмотрите, что из этого нужно:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Messenger)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (mnmsrvc)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Лишнее отключим.
Пользоваться можно всем, только смените все пароли.
I am not young enough to know everything...
-
-
Alerter - это вы зря на системную службу наезжаете, IMHO. Не нравится - поставьте в отключение.
-
-
@pig:
O23 - Service: Alerter - Unknown owner - C:\WINNT\system32\w32sys7.exe (file missing)
"Системное" тут только название осталось...
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
ничего не нужно
я только не знаю, что такое mnmsrvc, а без остального точно смогу обойтись
мне вобще не надо ничего удалённого или автоматического.
мне доступ в интернет лишь бы был, оффлайновые приложения чтобы работали, и чтобы из вне при этом доступа не было...
-
Если локальной сети, то можно выполнить (оставил автозапуск с CD):
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 60
сеть есть
У меня доступ в инет организован через маршрутизатор.
Некое подобие локальной сети тоже при этом присутствует -
я вижу расшэреные папки соседней машины...
И, возвращаясь, к главному:
при наборе в IE адреса, на котором нет сайта, открывается страница с рекламой "родственных сайтов" или женщин, тут же пытается открыться ещё одно окно... Это может быть проблемой в моём компе?
-
Скажите адрес открываемой страницы.
Это Ваши адреса?
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{031D732B-DE4A-4630-ADDD-3BA743279148}: NameServer = 85.255.116.29,85.255.112.105
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D7D78AF-347A-4BE8-818F-5849400181EA}: NameServer = 85.255.116.29,85.255.112.105
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = company.abi.ru
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.29 85.255.112.105
O17 - HKLM\System\CS2\Services\Tcpip\..\{031D732B-DE4A-4630-ADDD-3BA743279148}: NameServer = 85.255.116.29,85.255.112.105
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.29 85.255.112.105
O17 - HKLM\System\CS3\Services\Tcpip\..\{031D732B-DE4A-4630-ADDD-3BA743279148}: NameServer = 85.255.116.29,85.255.112.105
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.29 85.255.112.105
-
-
Junior Member
- Вес репутации
- 60
http://sedoparking.com/parking.php4?...=www.domdel.ru
http://unavailablepage.com/?prvtof=8...oPi%2F9A%3D%3D
http://www.clckm.com/?dn=ybbsu.com&p...xe%2BwxlMd0%3D
company.abi.ru - это домен, в котором когда-то работала машина в локальной сети - он уже никогда не понадобится,
а в остальных адресах я не уверен - скажите, как проверить?
-
Сообщение от
АнтонМГ
а в остальных адресах я не уверен - скажите, как проверить?
Узнайте у провайдера.
Добавлено через 6 минут
AVZ => Сервис => Поиск данных в реестре. На странице "Параметры поиска" поставьте все галочки. По очереди ищите следующие слова
Код:
sedoparking.com
domdel.ru
unavailablepage.com
prvtof
clckm.com
ybbsu.com
Прикрепите протоколы поиска по каждому результату.
Последний раз редактировалось Макcим; 28.01.2008 в 13:09.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 60
DNS были изменены!
Эти адреса, о которых вы спрашивали, привели меня сюда:
http://www.domainserror.com/index.php
Добрые ребята говорят, что гораздо лучше, если вместо ошибки при неправильном наборе адреса будет открываться страница, похожая на ту, которую вы неправильно набрали, - короче просто увеличивают трафик на сайты, которые им надо!
Причём предлагают специально установить эту "утилиту". Правда иногда, говорят, она и без Вашего ведома оказывается установленной
Вобщем, они поменяли мне DNS адреса. Теперь, когда я восстановил такой же, как на соседней машине, переадресация исчезла!
-
Junior Member
- Вес репутации
- 60
Как отключить всё лишнее, кроме сети?
1) Посмотрите, пожалуйста, удалился ли на этот раз "мусор".
2) Я хочу отключить лишние службы, но чтобы не потерять сеть и оставить возможность для работы программ типа RegCleaner, чтобы можно было всякие лишние Автозапуски удалять.
Последний раз редактировалось АнтонМГ; 12.06.2010 в 14:15.