Junior Member
Вес репутации
59
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
я вам скажу с чего это началось :с хождения по сомнительным сайтам с правами администратора, включённые скрипты по умолчанию в браузере
Junior Member
Вес репутации
59
И как с этим бороться не подскажете?
Отключите антивирус и инет перед исполнением скрипта.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{ffff0001-0002-101a-a3c9-08002b2f49fb}');
DelBHO('{fc3a74e5-f281-4f10-ae1e-733078684f3c}');
DelBHO('{cf021f40-3e14-23a5-cba2-717765728274}');
DelBHO('{9c5b2f29-1f46-4639-a6b4-828942301d3e}');
DelBHO('{965a592f-8efa-4250-8630-7960230792f1}');
DelBHO('{8674aea0-9d3d-11d9-99dc-00600f9a01f1}');
DelBHO('{622cc208-b014-4fe0-801b-874a5e5e403a}');
DelBHO('{5fa6752a-c4a0-4222-88c2-928ae5ab4966}');
DelBHO('{5dafd089-24b1-4c5e-bd42-8ca72550717b}');
DelBHO('{5929cd6e-2062-44a4-b2c5-2c7e78fbab38}');
DelBHO('{4e7bd74f-2b8d-469e-92c6-ce7eb590a94d}');
DelBHO('{4e1075f4-eec4-4a86-add7-cd5f52858c31}');
DelBHO('{15651c7c-e812-44a2-a9ac-b467a2233e7d}');
DelBHO('{13197ace-6851-45c3-a7ff-c281324d5489}');
DelBHO('{00000250-0320-4dd4-be4f-7566d2314352}');
DelBHO('{663B9A65-1BB6-43E1-ABE4-D0C52612D3F0}');
TerminateProcessByName('c:\documents and settings\Михаил\cftmon.exe');
TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
QuarantineFile('C:\WINDOWS\system32\win_d55.dll','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Xsp41.sys','');
QuarantineFile('c:\winself.exe','');
QuarantineFile('C:\Documents and Settings\Михаил\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS\system32\wmsdkns.exe','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
QuarantineFile('c:\documents and settings\Михаил\cftmon.exe','');
DeleteFile('c:\documents and settings\Михаил\cftmon.exe');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\Documents and Settings\Михаил\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Xsp41.sys');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('WLCtrl32.dll');
BC_ImportAll;
BC_DeleteSvc('Schedule');
BC_DeleteSvc('Google Online Services');
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(1);
ExecuteRepair(11);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=21320
Повторите логи
Последний раз редактировалось drongo; 10.04.2008 в 13:59 .
Изменил не много скрипт, чтобы сократить количество перегрузок. теперь выполняйте.
Junior Member
Вес репутации
59
Повторные логи
Высылаю повторные логи.
Файл virus.zip выслал.
Вложения
Скачайте IceSword .
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем C:\WINDOWS\system32\WLCtrl32.dll и C:\WINDOWS\system32\Drivers\Xsp41.sys.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.
Выполните в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{ffff0001-0002-101a-a3c9-08002b2f49fb}');
DelBHO('{fc3a74e5-f281-4f10-ae1e-733078684f3c}');
DelBHO('{cf021f40-3e14-23a5-cba2-717765728274}');
DelBHO('{9c5b2f29-1f46-4639-a6b4-828942301d3e}');
DelBHO('{965a592f-8efa-4250-8630-7960230792f1}');
DelBHO('{8674aea0-9d3d-11d9-99dc-00600f9a01f1}');
DelBHO('{622cc208-b014-4fe0-801b-874a5e5e403a}');
DelBHO('{5fa6752a-c4a0-4222-88c2-928ae5ab4966}');
DelBHO('{5dafd089-24b1-4c5e-bd42-8ca72550717b}');
DelBHO('{5929cd6e-2062-44a4-b2c5-2c7e78fbab38}');
DelBHO('{4e7bd74f-2b8d-469e-92c6-ce7eb590a94d}');
DelBHO('{4e1075f4-eec4-4a86-add7-cd5f52858c31}');
DelBHO('{15651c7c-e812-44a2-a9ac-b467a2233e7d}');
DelBHO('{13197ace-6851-45c3-a7ff-c281324d5489}');
DelBHO('{00000250-0320-4dd4-be4f-7566d2314352}');
DelBHO('{663B9A65-1BB6-43E1-ABE4-D0C52612D3F0}');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Xsp41.sys');
DeleteFile('WLCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи
Junior Member
Вес репутации
59
Повторные логи
Вложения
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\wmsdkns.exe,
O2 - BHO: (no name) - {00000250-0320-4dd4-be4f-7566d2314352} - (no file)
O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file)
O2 - BHO: (no name) - {15651c7c-e812-44a2-a9ac-b467a2233e7d} - (no file)
O2 - BHO: (no name) - {4e1075f4-eec4-4a86-add7-cd5f52858c31} - (no file)
O2 - BHO: (no name) - {4e7bd74f-2b8d-469e-92c6-ce7eb590a94d} - (no file)
O2 - BHO: (no name) - {5929cd6e-2062-44a4-b2c5-2c7e78fbab38} - (no file)
O2 - BHO: (no name) - {5dafd089-24b1-4c5e-bd42-8ca72550717b} - (no file)
O2 - BHO: (no name) - {5fa6752a-c4a0-4222-88c2-928ae5ab4966} - (no file)
O2 - BHO: (no name) - {622cc208-b014-4fe0-801b-874a5e5e403a} - (no file)
O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)
O2 - BHO: (no name) - {965a592f-8efa-4250-8630-7960230792f1} - (no file)
O2 - BHO: (no name) - {9c5b2f29-1f46-4639-a6b4-828942301d3e} - (no file)
O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765728274} - (no file)
O2 - BHO: (no name) - {fc3a74e5-f281-4f10-ae1e-733078684f3c} - (no file)
O2 - BHO: (no name) - {ffff0001-0002-101a-a3c9-08002b2f49fb} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\win_d55.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\adsnd.dll','');
QuarantineFile('C:\WINDOWS\system32\win_d55.dll','');
QuarantineFile('C:\WINDOWS\system32\wmsdkns.exe','');
DeleteFile('C:\WINDOWS\system32\wmsdkns.exe');
DeleteFile('C:\WINDOWS\system32\win_d55.dll');
BC_DeleteSvc('MSSysInterv');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
I am not young enough to know everything...
Неплохой, почти стандартный наборчик:
adsnd.dll - Rootkit.Win32.Podnuha.bf,
cftmon.exe1, cftmon.exe_, spools.exe_ - Worm.Win32.Socks.bt,
wmsdkns.exe_ - not-virus:Hoax.Win32.Renos.blu
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
jess , после выполнения рекомендаций Bratez из поста № 9 логи повторите. Посмотрим, что там с врагами.
Junior Member
Вес репутации
59
Повторные логи
Вложения
Удалим гаденыша:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\adsnd.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После этого сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
59
Повторные логи
Вложения
То, что было по Касперскому (удалены):
adsnd.dll - Rootkit.Win32.Podnuha.bf,
cftmon.exe1, cftmon.exe_, spools.exe_ - Worm.Win32.Socks.bt,
wmsdkns.exe_ - not-virus:Hoax.Win32.Renos.blu
WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.hx (свежий)
В логах ничего плохого не увидел. Надо только разобраться с Потенциальными уязвимостями + с остальными проблемами.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
59
Спасибо
Спасибо за помощь.
Только вот этот пост мне не понятен "хождение по сомнительным сайтам с правами администратора, включённые скрипты по умолчанию в браузере "...
Где это исправить? Подскажите пожалуйста.
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
В этой книге все подробно описано.
Сообщение от
jess
Спасибо за помощь.
Только вот этот пост мне не понятен "хождение по сомнительным сайтам с правами администратора, включённые скрипты по умолчанию в браузере "...
Где это исправить? Подскажите пожалуйста.
Есть категории пользователей: Администратор, Power User, и еще более низкая ступень.
В Вашем случае рекомендовано ходить по Инету с пользователем, имеющим ограниченные права.
Надо завести пользователя с огран. правами через панель управления и зайдя в него уже лазать по сайтам. Если вдруг попадете на зараженный сайт, то зловред ничего не сможет сделать, ничего записать лишнего на диск, в систему.
Единственное неудобство: устанавливать большинство программ можно только из-под аккоунта с Администраторскими правами.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
59
Спасибо
Спасибо Вам всем большое за помощь. ОЧень полезный ресурс.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 60 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\localservice\\cftmon.exe - Worm.Win32.Socks.bt (DrWEB: Win32.HLLW.Socks) c:\\documents and settings\\михаил\\cftmon.exe - Worm.Win32.Socks.bt (DrWEB: Win32.HLLW.Socks) c:\\windows\\system32\\adsnd.dll - Rootkit.Win32.Podnuha.bf (DrWEB: Trojan.DownLoader.56883) c:\\windows\\system32\\drivers\\spools.exe - Worm.Win32.Socks.bt (DrWEB: Win32.HLLW.Socks) c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.hx (DrWEB: Trojan.DownLoader.56882) c:\\windows\\system32\\wmsdkns.exe - Hoax.Win32.Renos.blu (DrWEB: Trojan.Fakealert.506)