-
Junior Member
- Вес репутации
- 53
последствия iMaxDownloader
Во-первых, хотел бы высказать свою благодарность авторам и команде ресурса. Благодаря вашим статьям и сообщениям форума сумел как-то восстановить работу компьютера. Вирус удалял вручную из-под LiveCD. Порядка 2000 dll-ек лежало в папке Windows\system32, штук 200 - в Windows\Temp, еще сколько-то - в папке C:\Documents and Settings\UserName\Local Settings\Temp (удалил всю папку целиком). Все файлы стандартного размера 133664 байта, попался, правда, один гибрид чуть большего размера, но с той же датой изменения файла, к сожалению, запущенный впоследствии AVP удалил весь карантин
К настоящему моменту система работает более-менее сносно, правда, не уверен, что вполне корректно. Regedit и taskmgr сумел как-то восстановить с помощью gpedit.msc (хотя не уверен, что это правильно). Восстановление системы до сих пор не работает. Кроме того, заметил, что все системные диски открыты на общий доступ (не уверен, что так и должно быть), а одна из моих программ вообще не запускается. Прошу экспертов изучить представленные логи и сделать свое заключение. С уважением, imill
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в Hijack следующие строки:
Код:
O20 - AppInit_DLLs: C:\WINDOWS\TEMP\ywblld.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,C:\WINDOWS\system32\sdra64.exe,
Выполнить скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\TEMP\ywblld.dll','');
DeleteFile('C:\WINDOWS\TEMP\ywblld.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(1);
Executerepair(6);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Затем следующий
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению
Добавлено через 1 минуту
Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику Проверка завершена 9. Мастер поиска и устранения проблем
>> Заблокированы настройки системы System Restore
>> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Подумайте, что Вам для работы необходимо, остальное желательно отключить.
Последний раз редактировалось Шапельский Александр; 12.12.2009 в 23:05.
Причина: DeleteFile
-
-
Junior Member
- Вес репутации
- 53
Благодарю за инструкции, восстановление системы запустилось. Папка карантин, правда, оказалась пустой, видимо, файлы с вирусом были удалены еще до того, оставались только записи в реестре. Новые логи прилагаю. У меня после удаления вируса почему-то не работала програмка abiteq.exe, которая подбирает частоту вращения кулера в зависимости от температуры процессора. Но после ее переустановки все, кажется, заработало как прежде, пока проблем в работе системы не вижу
Что касается вопросов безопасности, полностью Вас поддерживаю. Думаю, все Вами указанное надо запретить. Компьютер домашний, сетей никаких не имею, указанными службами и прочими не пользуюсь, автозапуски тоже не нужны. Если расскажете, как это все убрать, с удовольствием воспользуюсь Вашими инструкциями. Кстати, еще при запуске "Мой компьютер" у меня рядом с системными дисками появились еще какие-то Веб-папки. Не пойму, откуда они там взялись, вроде ничего подобного я не создавал, и ярлык этот почему-то не удаляется.... С уважением, imill
-
Отключить восстановление системы!!!
Пофиксить в Hijack следующие строки:
Код:
O22 - SharedTaskScheduler: System Desktop Handler - {52F7FFDF-D0CF-5CC3-5F4F-C6D8F7D65F0D} - C:\WINDOWS\system32\Nochicpj.dll (file missing)
Выполнить скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\main.sys','');
DeleteService('EXAMPLE');
QuarantineFile('C:\WINDOWS\system32\drivers\ScreamingBAudio.sys','');
QuarantineFile('C:\WINDOWS\system32\Nochicpj.dll','');
DeleteFile('C:\WINDOWS\system32\Nochicpj.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler','{52F7FFDF-D0CF-5CC3-5F4F-C6D8F7D65F0D}');
DeleteFile('C:\WINDOWS\system32\main.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Затем следующий
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 53
Спасибо, все инструкции выполнил, логи прилагаю. Карантин снова пуст, высылать опять нечего
При выполнении скрипта в AVZ компьютер при перезагрузке почему-то долго не хотел завершать работу, минут 5 висел синий экран я не выдержал, нажал пару раз CtrlAltDel, он перегрузился. Загрузился вроде нормально, я еще раз выполнил тот же скрипт, второй раз перезагрузка прошла нормально. При загрузке заметил 2 изменения
Во-первых, пропал брандмауэр из трея. Во-вторых, в диспетчере задач перестало отображаться имя пользователя, запустившего процесс. Ну и, кроме того, по-прежнему видны какие-то Веб-папки, когда открываешь "Мой компьютер", содержимое оттуда я удалил, но сам ярлык не удаляется. Это, конечно, все не существенно и работе не мешает. Но брандмауэр все-таки хотелось бы восстановить на месте, не подскажете, как это сделать? Он нужен мне хотя бы потому, что когда какой-нибудь троян попадает в компьютер, обычно сразу же отключается брандмауэр, и сразу становится ясно, что нужно предпринять срочные меры. Антивирус не всегда справляется, особенно когда вирус свежий, поэтому брандмауэр становится дополнительным источником информации, пожалуйста, помогите вернуть его в трей
С уважением, imill
-
В логах чмсто.
Но брандмауэр все-таки хотелось бы восстановить на месте, не подскажете, как это сделать? Он нужен мне хотя бы потому, что когда какой-нибудь троян попадает в компьютер, обычно сразу же отключается брандмауэр, и сразу становится ясно, что нужно предпринять срочные меры. Антивирус не всегда справляется, особенно когда вирус свежий, поэтому брандмауэр становится дополнительным источником информации, пожалуйста, помогите вернуть его в трей
Я Вам его не отключал, скорее всего это был предупреждающий красный знак Центра обеспечения безопасности Windows
Проверьте: Пуск-Настройки-Панель Управления-Центр обеспечения безопасности-Брандмауэр Windows-вкл.
Добавлено через 5 минут
Рекомендую обновить:
-Windows XP SP2 до Windows XP SP3, возможно потребуется активация;
-Internet Explorer v6.00 до Internet Explorer v8.00;
-Adobe Acrobat 6.0 до Adobe Acrobat 9.0;
-установить последние обновления на ОС (Windows)
Последний раз редактировалось Шапельский Александр; 14.12.2009 в 23:23.
Причина: Добавлено
-
-
+ к shapel
Сообщение от
imill
по-прежнему видны какие-то Веб-папки, когда открываешь "Мой компьютер"
Выполните скрипт в AVZ
Код:
begin
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
end.
Последний раз редактировалось pig; 15.12.2009 в 22:50.
Причина: оформил скрипт
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
shapel
В логах чмсто.
Спасибо!
Я Вам его не отключал, скорее всего это был предупреждающий красный знак Центра обеспечения безопасности Windows
Проверьте:
Пуск-Настройки-Панель Управления-Центр обеспечения безопасности-Брандмауэр Windows-вкл.
Да, это был маленький красный значок в форме щита Центра обеспечения безопасности. Брандмауэр, естественно, включен, просто красный значок исчез из трея. Можно ли его туда как-нибудь вернуть или, думаете, в этом нет необходимости?
Сообщение от
thyrex
+ к shapel
Выполните скрипт в AVZ
Веб-папки исчезли, большое Вам спасибо!
-
Сообщение от
imill
Да, это был маленький красный значок в форме щита Центра обеспечения безопасности.
Это предупреждающий знак, что Ваша защита ПК под угрозой!!!
Сейчас его нет, значит все Ок!
-
-
Junior Member
- Вес репутации
- 53
Это все приятно все слышать, спасибо. Но этот предупреждающий знак висел у меня даже на чистой системе Сейчас, например, у меня постоянно отключено автоматическое обновление (я сам его отключил), и раньше, при старте системы, когда красный щиток был в трее, я всегда получал предупреждения о том, что оно отключено. Сейчас никаких предупреждений не получаю, и красного щитка в трее нет. Кроме того, когда отключаю вручную брандмауэр по тому адресу, что Вы здесь писали, или отключаю антивирус, тоже не получаю никаких предупреждений от системы, а ведь раньше они были....
Я просто боюсь, что когда вредоносное ПО решит отключить мне брандмауэр, я об этом уже никак не узнаю. Я раньше очень ориентировался на эти сообщения, и когда замечал, что брандмауэр сам по себе начинает отключаться, тут же сканировал систему на вирусы, и при отсутствии таковых откатывал систему на несколько дней назад с помощью функции восстановления системы. Я смог продержаться таким способом несколько лет, пока этот последний вирус не отрубил мне всю функцию восстановления целиком
Просто хотелось получать какие-то сообщения от системы, когда отключен брандмауэр, антивирус или автоматическое обновление. Мне казалось, что тот красный щиток в трее, которого сейчас там нет, как раз отвечал за мониторинг этих функций. Поправьте меня, если я не прав
С уважением, imill
Последний раз редактировалось imill; 16.12.2009 в 19:11.
Причина: без причины
-
-
-
Junior Member
- Вес репутации
- 53
В общем, прописал я файл wscntfy.exe в автозапуск от имени пользователя. Странно только, что он перестал запускаться системой, ведь раньше его было даже из памяти не выгрузить. Ну да ладно, может, так еще и лучше будет. В общем, всем спасибо, тему можно закрывать