Доброго дня, что то цыпанул
Спам сыпется, причем исходящий, Аваст не справился
При перезагрузке компьютера файрволл всегда выключен
Доброго дня, что то цыпанул
Спам сыпется, причем исходящий, Аваст не справился
При перезагрузке компьютера файрволл всегда выключен
Выполните скрипт в AVZПотом ещё одинКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\DOCUME~1\ALEX\LOCALS~1\Temp\~~install.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Utw74.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Qpe43.sys',''); QuarantineFile('c:\windows\system32\..\svchost.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\truecrypt.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\baseniqsc32.dll',''); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Qpe43.sys'); DeleteFile('c:\windows\system32\..\svchost.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Utw74.sys'); DeleteFile('C:\DOCUME~1\ALEX\LOCALS~1\Temp\~~install.dll'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportALL; BC_DeleteSvc('msupdate'); BC_DeleteSvc('ICF'); BC_DeleteSvc('Qpe43'); BC_DeleteSvc('Utw74'); BC_Activate; ExecuteSysClean; RebootWindows(true); end."Пофиксите" в HijackThisКод:function _DecHex( Dc : Integer) : String; begin Result := Copy('0123456789abcdef',Dc+1,1); end; function DecHex( Dec : Integer) : String; var Di,D1,D2 : integer; begin Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end; If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2); end; procedure ParseString (S : TStringList; SS : String; SSS : String ); var i,l : integer; begin i := Pos(SSS,SS); l := Length(ss); If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end; end; var SL,SF : TStringList; SS, SSS : String; i : integer; begin SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create; SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows'); ParseString (SL,SS,' '); for i := 0 to SL.Count - 1 do Begin SS := SL[i]; If Pos('ServerDll=base',SS) > 0 Then Begin If SS <> 'ServerDll=basesrv,1' Then Begin AddToLog('Infected "SubSystem" value : ' + SS); if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end; end; end; end; SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end; If SSS <> '' Then Begin i := Pos(',',SSS); If i = 0 Then i := Length(SSS); SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1); AddToLog('Infection name : ' + SSS + '.dll'); SetAVZGuardStatus(True); If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll'); SF.Add('REGEDIT4'); SF.Add(''); SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]'); SSS := '"Windows"=hex(2):'; for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ','; SSS := SSS + '00'; SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg'); ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true); SaveLog(GetAVZDirectory + 'SubSystems.log'); RebootWindows(false); end; SL.Free; SF.Free; End.Загрузите карантин согласно приложению №3 правил. Повторите логи.Код:O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Все сделал
Выполните скрипт в AVZПовторите логи.Код:begin RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Qpe43\0000', 'CSConfigFlags', '1'); BC_DeleteSvc('Qpe43'); BC_DeleteSvc('ICF'); BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Qpe43.sys'); BC_Activate; RebootWindows(true); end.
Готово
скачать C:\WINDOWS\system32\WLCtrl32.dll ,C:\WINDOWS\System32\drivers\Ouq83.sys - force delete
затем выполните скрипт .... авз
повторите логи ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\drivers\Ouq83.sys'); DelWinlogonNotifyByFileName('WLCtrl32.dll'); BC_DeleteSvc('Ouq83'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Скачал этот меч. Удалил. Скрипты выполнил
Логи:
Выполните скрипт:
Повторите логи, начиная с п.10 правил.Код:begin DelWinlogonNotifyByKeyname( 'WLCtrl32'); BC_DeleteSvc('Qpe43'); BC_DeleteSvc('Ouq83'); BC_DeleteSvc('ICF'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Готово
Странно, ключ в Winlogon Notify удалился, а в драйверах - все на месте!
Сделаем так: Пуск - Выполнить - cmd.
В окне командной строки введите след. команды:
sc delete Qpe43
sc delete Ouq83
sc delete ICF
и повторите два последних лога.
I am not young enough to know everything...
Есть
Отлично. Больше ничего плохого не видно.
Рекомендуется отключить все что вам не нужно из этого списка:
Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry) >> Службы: разрешена потенциально опасная служба TermService (Terminal Services) >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service) >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Ничего из этого не надо. А что - уже живой??
В логах чисто, есть какие то жалобы?
Для уязвимостей
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
Спасибо. Жалоб вроде пока нет. Есть неясность: на MY COMPUTER висит какой то WEB FOLDERS - я их там не вешал и до этих траблов там не видел. Что это?
Побочный эффект
Код:begin RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); end.
Огромное спасибо
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\alex\\doctorweb\\quarantine\\nt7532.exe - Hoax.Win32.Renos.awn (DrWEB: Trojan.Fakealert)
- c:\\windows\\system32\\baseniqsc32.dll - Trojan.Win32.Agent.fxk
- c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.alr (DrWEB: Trojan.Packed.424)
- c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Agent.kif (DrWEB: Trojan.DownLoader.50037)
Уважаемый(ая) alsoclean, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.