Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Cомнения по поводу чистоты системы (http://forum.oszone.net/showthread.php?t=103802)

zeroua 27-03-2008 14:19 768950
Cомнения по поводу чистоты системы
 
Pili, меня терзают смутные сомнения по поводу чистоты от вирусов моей системы...так вот причина в то что через какоето время простоя у меня перестают стартовать приложения, как и обещал темя обновил логи сейчас выложу ... ещё раз в шапке будут только новые логи...

Pili 27-03-2008 16:29 769061
zeroua, сделайте доп. логи согласно п. 3.6 правил и согласно п. 4.2 откройте новую тему и разместите логи в первом сообщении (чтобы не путались с логами автора темы). Найдите и проверьте на virustotal.com файл
ddsxei.sys C:\Program Files\sXe Injected\ddsxei.sys
пофиксите
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
если сами не делали, можете пофиксить (если что, вернуть потом можно)
Код:
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
и ещё
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Цитата:
>> Services: potentially dangerous service allowed: RemoteRegistry (Удаленный реестр)
>> Services: potentially dangerous service allowed: TermService (Службы терминалов)
>> Services: potentially dangerous service allowed: SSDPSRV (Служба обнаружения SSDP)
>> Services: potentially dangerous service allowed: Schedule (Планировщик заданий)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Services: potentially dangerous service allowed: RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
>> Security: automatic logon is enabled
Рекомендую отключить лишнее, что из этого не нужно?
Чем вызваны сомнения в чистоте системы?

zeroua 27-03-2008 23:51 769406
Цитата:
Цитата Pili
zeroua, сделайте доп. логи согласно п. 3.6 »
, добавил в шапку логи

Нашел вот такую вот беду


Файл hosts получен 2008.03.27 22:20:03 (CET)
Текущий статус: Загрузка ... в очереди ожидание проверка закончено НЕ НАЙДЕНО ОСТАНОВЛЕНО
Результат: 3/32 (9.38%)

F-Secure 6.70.13260.0 2008.03.27 Trojan.Win32.Qhost.ajh
Ikarus T3.1.1.20 2008.03.27 Trojan.Win32.Qhost.ajh
Kaspersky 7.0.0.125 2008.03.27 Trojan.Win32.Qhost.ajh

Пользуюсь NOD32 3.0.636.0 Rus (2979)

Pili 28-03-2008 11:31 769638
логи чистые. Если не очень нужно, можете удалить скриптом ddsxei.sys (или предварительно отослать на newvirus@kaspersky.com - ответ скорее всего будет "вредоносный код не обнаружен")
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('ddsxeiservice');
 SetServiceStart('ddsxeiservice', 4);
 QuarantineFile('C:\Program Files\sXe Injected\ddsxei.sys','');
 DeleteService('ddsxeiservice');
 DeleteFile('C:\Program Files\sXe Injected\ddsxei.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Файл hosts очень большой (скорее всего результат работы от spybot S&D), интернет может тормозить
можно почистить скриптом
Код:
begin
 ClearHostsFile;
end.
в новом логе HJT осталось
Код:
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'LOCAL SERVICE')
если сами не делали, можно пофиксить


Время: 03:19.

Время: 03:19.
© OSzone.net 2001-