adm_art Posted April 15, 2008 Report Share Posted April 15, 2008 (edited) Что было: Выскакивало окно что комп заражен торояном / медленно работает / не защищен антивирусом. Сейчас вроде всё нормально, но всёравно прошу посмотреть. hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip Edited April 15, 2008 by adm_art Quote Link to comment Share on other sites More sharing options...
ser208 Posted April 15, 2008 Report Share Posted April 15, 2008 (edited) В HijackThis выделить строки и нажать Fix checked. F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,C:\WINDOWS\system32\wmsdkns.exe,O2 - BHO: (no name) - {00000250-0320-4dd4-be4f-7566d2314352} - (no file)O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file)O2 - BHO: (no name) - {15651c7c-e812-44a2-a9ac-b467a2233e7d} - (no file)O2 - BHO: (no name) - {4e1075f4-eec4-4a86-add7-cd5f52858c31} - (no file)O2 - BHO: (no name) - {4e7bd74f-2b8d-469e-92c6-ce7eb590a94d} - (no file)O2 - BHO: (no name) - {5929cd6e-2062-44a4-b2c5-2c7e78fbab38} - (no file)O2 - BHO: (no name) - {5dafd089-24b1-4c5e-bd42-8ca72550717b} - (no file)O2 - BHO: (no name) - {5fa6752a-c4a0-4222-88c2-928ae5ab4966} - (no file)O2 - BHO: (no name) - {622cc208-b014-4fe0-801b-874a5e5e403a} - (no file)O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)O2 - BHO: (no name) - {965a592f-8efa-4250-8630-7960230792f1} - (no file)O2 - BHO: (no name) - {9c5b2f29-1f46-4639-a6b4-828942301d3e} - (no file)O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765728274} - (no file)O2 - BHO: (no name) - {fc3a74e5-f281-4f10-ae1e-733078684f3c} - (no file)O2 - BHO: (no name) - {ffff0001-0002-101a-a3c9-08002b2f49fb} - (no file)O21 - SSODL: ChkKbd - {87fa01e0-1cfe-45e4-abb0-3e4e9d9ab654} - C:\WINDOWS\Installer\{87fa01e0-1cfe-45e4-abb0-3e4e9d9ab654}\ChkKbd.dll (file missing) В AVZ меню Файл -- Выполнить скрипт. Скопировать код и "Запустить". beginSetAVZGuardStatus(True);SearchRootkit(true, true);QuarantineFile('C:\WINDOWS\system32\hkco526.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');QuarantineFile('C:\WINDOWS\Installer\{87fa01e0-1cfe-45e4-abb0-3e4e9d9ab654}\ChkKbd.dll','');QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');SetServiceStart('MSSysInterv', 4);DeleteService('MSSysInterv');BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');BC_DeleteFile('C:\WINDOWS\system32\wmsdkns.exe');BC_DeleteFile('C:\WINDOWS\system32\wowfx.dll');BC_DeleteFile('C:\WINDOWS\system32\spoolvs.exe');BC_DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');BC_DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');BC_Activate;RebootWindows(true);end. Этим скриптом ты отключишь потенциально уязвимые службы. Посмотри, может что-то нужно. Список служб внизу твоего лога AVZ. beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);SetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);SetServiceStart('Schedule', 4);SetServiceStart('SSDPSRV', 4);SetServiceStart('TermService', 4);SetServiceStart('RemoteRegistry', 4);end. Дело вкуса, но Spyware Terminator -- вещь на компе явно лишняя. Кое-что пришлось добавить, так что повтори скрипт, если уже запустил. Логи сделай еще раз. Edited April 15, 2008 by ser208 Quote Link to comment Share on other sites More sharing options...
adm_art Posted April 15, 2008 Author Report Share Posted April 15, 2008 (edited) Скрипт уже выполнил. ((( Spyware Terminator - кок раз сейчас очень помог. но признаюсь что сегодня использовал его первый раз, и скорее всего снесу его. Выкладываю ещё раз логи. avz_sysinfo.zip hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip avz_sysinfo.zip hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip Edited April 15, 2008 by adm_art Quote Link to comment Share on other sites More sharing options...
ser208 Posted April 15, 2008 Report Share Posted April 15, 2008 Ты СureIt проходил системный диск? Скрипт нужно еще раз выполнить и логи повторить. Quote Link to comment Share on other sites More sharing options...
adm_art Posted April 16, 2008 Author Report Share Posted April 16, 2008 (edited) Ты СureIt проходил системный диск? Да. выкладываю новые логи. Ещё вот этот файл вызывает подозрения. C:\WINDOWS\mssvr.exe Размер Файла: 10 752 MD5 Файла: 780A430F4148601A5CE6C4DFCA59245F Сканирование Реестра: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*\a C:\WINDOWS\mssvr.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe\a C:\WINDOWS\mssvr.exe Вот что про него пишут mssvr.exe a process belonging to the 2020 Internet Search Toolbar. This process has been classified as a spyware and should be removed to ensure your personal privacy. Надо будет снести. avz_sysinfo.zip hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip avz_sysinfo.zip hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip Edited April 16, 2008 by adm_art Quote Link to comment Share on other sites More sharing options...
Pili Posted April 16, 2008 Report Share Posted April 16, 2008 (edited) Восстановление системы: включено - отключите Отключите временно антивирус. В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить» beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('MSSysInterv');SetServiceStart('MSSysInterv', 4);QuarantineFile('C:\WINDOWS\system32\hkco526.exe','');QuarantineFile('wowfx.dll','');QuarantineFile('C:\WINDOWS\system32\spoolvs.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');QuarantineFile('C:\WINDOWS\winself.exe','');DeleteService('MSSysInterv');DeleteFile('C:\WINDOWS\winself.exe');DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');DeleteFile('C:\WINDOWS\system32\spoolvs.exe');DeleteFile('wowfx.dll');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(12);RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку). Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера". Повторите логи virusinfo_syscheck.zip, hijackthis Edited April 16, 2008 by Pili Quote Link to comment Share on other sites More sharing options...
adm_art Posted April 16, 2008 Author Report Share Posted April 16, 2008 (edited) C:\WINDOWS\system32\hkco526.exe C:\WINDOWS\system32\drivers\spools.exe файлы уже были удалены Ссылка на quarantine.zip ушла в ПМ. hijackthis.zip virusinfo_syscheck.zip hijackthis.zip virusinfo_syscheck.zip Edited April 16, 2008 by adm_art Quote Link to comment Share on other sites More sharing options...
Pili Posted April 16, 2008 Report Share Posted April 16, 2008 C:\WINDOWS\system32\hkco526.exeC:\WINDOWS\system32\drivers\spools.exe файлы уже были удалены в логах они были, hkco526.exe был, в карантин попал только этот файл - Trojan-Downloader.Win32.Mutant.jz по каспесркому, выполните скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('C:\WINDOWS\system32\hkco526.exe');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end. В логах больше ничего подозрительного. Какие-нибудь проблемы ещё остались? Quote Link to comment Share on other sites More sharing options...
adm_art Posted April 16, 2008 Author Report Share Posted April 16, 2008 Всё вроде нормально. ещё проскакивали: C:\WINDOWS\system32\dllgh8jkd1q6.exe C:\WINDOWS\system32\ntos.exe.ren Но далеко не убежали :) Всем спасибо за участие. Quote Link to comment Share on other sites More sharing options...
Pili Posted April 16, 2008 Report Share Posted April 16, 2008 (edited) adm_art: можете дополнительно скачать AVPTool и проверить систему. Для защиты от autorun рекомендую применить reg файл Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]"AutoRun"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]"NoDriveTypeAutoRun"=dword:000000ff[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]"*.*"="" Дополнительно можете скачать и запустить утилиту (не забудьте подключить флешки и др. съемные носители) Flash Drive Disinfector - утилита создает каталоги с именем autorun.inf на дисках - не удаляейте эти каталоги, они защитят носители (в .т.ч флешки) от зловредов типа autorun.inf Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге. Чистого вам интернета. Edited April 16, 2008 by Pili Quote Link to comment Share on other sites More sharing options...
adm_art Posted April 16, 2008 Author Report Share Posted April 16, 2008 Pili: Спасибо за советы. Это был комп менеджера, а они (работники) везде заразу найдут. Или Макака с Нодом на шлюзе новую заразу пропустит или из дома притащат. Мне один раз фотоаппарат такого работничка попал, он просил фотки на диск переписать. Так там на карте памяти чего только не было :) Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.