-
Junior Member
- Вес репутации
- 60
Svchost взбесился
Доброго времени суток.
Во-первых, спасибо огромное - большое дело делаете!
Во-вторых - по сути:
Маленькая предыстория. У меня вчера хакнули сайт (sql injection) - редирект на какой-то мп3-шный форум, на котором в комп захотел залезть троян. Антивирь (Avast) его, якобы, остановил, но с тех пор svchost.exe постоянно требует от Аутпоста связи с самыми разнообразными адресами. Разрешать, блокировать, или создавать правила - бесполезно: через несколько секунд он ломится по новому адресу. Если, после автосоздания правил переключить Аутпост в запрещающий режим - через некоторое время пропадает интернет. Если разрешить svchost_у выполнять любые действия - начинается интенсивная закачка/скачка неизвестно чего. Постоянно нажимать на "блокировать однократно" ни к чему не приводит - полсекунды спустя он просит новый адрес, при этом антивирь время от времени кричит, что в папке drivers появился троян, который, кстати, успешно удаляет, но всё повторяется снова.
Выполнил всю вашу инструкцию. Логи прилагаются.
Очень надеюсь на вашу помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Nsf45\0000', 'CSConfigFlags', '1');
QuarantineFile('C:\WINDOWS\system32\Drivers\TBPanel.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\SaiBus.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\SaiMini.sys','');
QuarantineFile('C:\WINDOWS\nvoclock.sys','');
BC_DeleteSvc('Nsf45');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Nsf45.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил. Повторите логи. Прикрепите также boot_clr.log из папки AVZ.
-
-
Junior Member
- Вес репутации
- 60
Выполнил. Шлю.
В папке AVZ4 файла boot_clr.log нет...
Последний раз редактировалось Alex_Goodwin; 02.02.2008 в 20:20.
-
Файл сохранён как 080202_112234_virus_47a4a6da978de.zip
Размер файла 35729
MD5 a6abc4092e6c529b73d06af28bc278a8
-
-
Junior Member
- Вес репутации
- 60
Приношу свои извинение за отправку "вирусного" архива не туда. Исправил. Послал через страничку отправки. Жду ответа, и, если можно, краткого комментария, почему, например, пофиксенные 3 или 4 файла не опрелелялись мальверными ни антивирем, ни антиспаем?
Последний раз редактировалось Savransky; 02.02.2008 в 21:58.
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Nsf45', 4);
StopService('Nsf45');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nsf45.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Nsf45.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
DeleteService('Nsf45');
BC_ImportALL;
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Nsf45.sys');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17454
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - (no file)
O22 - SharedTaskScheduler: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - (no file)
Повторите логи
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 60
Готово. И всё же:
...если можно, краткого комментария, почему, например, пофиксенные 3 или 4 файла не опрелелялись мальверными ни антивирем, ни антиспаем?
-
пофиксите ...
Код:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - (no file)
в логах ничего зловредного ...
что из этого используете ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
-
-
пофиксенные 3 или 4 файла не опрелелялись мальверными ни антивирем, ни антиспаем?
Это какие файлы? Уточните
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 60
Сообщение от
akoK
Это какие файлы? Уточните
вот эти:
QuarantineFile('C:\WINDOWS\system32\Drivers\TBPane l.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\SaiBus .sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\SaiMin i.sys','');
QuarantineFile('C:\WINDOWS\nvoclock.sys','')
-
Они не пофиксились, а просто скопировались в карантин.
Последний раз редактировалось Alex_Goodwin; 02.02.2008 в 22:44.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
V_Bond
пофиксите ...
Код:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - (no file)
Эти две строчки не фиксятся... после перезагрузки появляются снова
Сообщение от
V_Bond
в логах ничего зловредного ...
что из этого используете ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Думаю, что никакие.
-
стрики не фиксятся из- за Spybot ... деинсталируйте .... при наличии нормального антивируса в нем нет небходимости ....
увас есть локальная сеть ?
-
-
Сообщение от
Savransky
Эти две строчки не фиксятся... после перезагрузки появляются снова
Оставьте, они легитимные. От Windows Live Messenger.
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
V_Bond
у вас есть локальная сеть ?
нет
-
Сообщение от
Alex_Goodwin
Оставьте, они легитимные. От Windows Live Messenger.
смысла их оставлять нет .... месенжер отключен ...
Добавлено через 2 минуты
если нет локальной сети ....
выполните скрипт....
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
Последний раз редактировалось V_Bond; 02.02.2008 в 23:23.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
V_Bond
смысла их оставлять нет .... месенжер отключен
Мессенджер включён, я отключал его перед выполнением скриптов и "фиксаньем".
Спасибо всем большое. Svchost, вроде, угомонился.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\nsf45.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm)
-