Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Неизвестный авторан 2 (http://forum.oszone.net/showthread.php?t=132378)

core666 18-02-2009 14:16 1042233
Вложений: 1
От kapitanvagin не последовало логов, у меня такая же проблема, так что вот мои логи...
http://forum.oszone.net/attachment.p...1&d=1234955776

http://forum.oszone.net/attachment.p...1&d=1234955776

http://forum.oszone.net/attachment.p...1&d=1234955776

Pili 18-02-2009 15:58 1042354
core666, Здравствуйте. Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам.
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ExecuteRepair(1);
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe','');
 QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
 DeleteFile('C:\WINDOWS\system32\csrcs.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe');
 DelCLSID('18B0E5C0-4FCB-11CF-AAX5-004016608512');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin       
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему, или выложите файл на ifolder.ru или другой файлообменник и дайте ссылку на него мне в ПМ.

Обновите Java Runtime Environment (JRE)
Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.

Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

core666 18-02-2009 23:12 1042699
Вложений: 1
Новые логи

Pili 18-02-2009 23:34 1042723
core666, очень странно, в карантин попал только C:\Program Files\MSI\Live Update 3\msi.files\FreeDOS\COMMAND.COM, он чист, вы NOD32 и Outpost выключали на время выполнения скрипта?
Пофиксите ещё
Код:
O18 - Filter hijack: text/html - {53B95212-7D77-11D2-9F80-00104B107C97} - (no file)
По логам зловредов не вижу. Проблемы ещё наблюдаются?

core666 19-02-2009 09:32 1042934
Вложений: 1
Pili, проблем больше нет. теперь просто с флешки удалил файлы. До этого они снова появлялись, сейчас все норм. До этого и НОД постоянно удалял этот файл, но он появлялся снова. Вот прикрепляю его лог, если интересно, но там ничего особенного, как я понял...
Спасибо за помощь.

Pili 19-02-2009 15:11 1043213
core666, да, по логу NOD вредоносный файл был на флешке тот же iuhi32.exe, который был удален скриптом.
Заключительные действия:
Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com
Цитата:
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Советую отключить неиспользуемые службы и настроить безопасность, если что не нужно, скажите, можно будет отключить скриптом.
По службам можно почитать здесь, дополнительно по безопасности Windows XP можно почитать здесь

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем

Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ


Время: 11:30.

Время: 11:30.
© OSzone.net 2001-