[решено] Несанкционированное изменение windows

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Несанкционированное изменение windows (http://forum.oszone.net/showthread.php?t=133462)

lokk555

01-03-2009 11:23 1051843

Несанкционированное изменение windows

ОС - Виста. Подхватила вирус - порно в браузере. Кое-как вылечилась. Проверялась и лечилась этими прогами: http://freedrweb.ru и http://z-oleg.com. Порно больше нет, но система несмотря на это продолжает выдавать: "несанкционированное изменение windows". А еще также в основном при играх появляется окно: "вы стали жертвой подделки программного обеспечения". Трижды пыталась восстановить систему через созданные точки. Но пишет: непредвиденная ошибка. То есть система восстановления сломалась. Что-нибудь посоветуйте.

iskander-k

01-03-2009 12:49 1051890

lokk555, Выложите логи в соответствии с этими инструкциями.

Цитата:

Цитата lokk555

"вы стали жертвой подделки программного обеспечения". »

ОС- Виста у вас лицензионная ?

lokk555

01-03-2009 17:36 1052128

Вложений: 1

Виста думаю лицензионная, - была на покупном компьютере. Сделала все логи, выкладываю.

thyrex

01-03-2009 18:26 1052171

Выполните скрипт в AVZ

Код:

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

QuarantineFile('C:\Windows\System32\Drivers\SPTDDRV1.SYS','');

QuarantineFile('C:\Users\123\AppData\Local\Temp\init.exe','');

QuarantineFile('c:\users\123\appdata\local\temp\init.exe','');

QuarantineFile('C:\Windows\system32\mssrv32.exe','');

QuarantineFile('C:\Windows\system32\svshost.dll','');

QuarantineFile('C:\Users\123\AppData\Local\Temp\gAGP440p.sys','');

QuarantineFile('C:\Windows\system32\sdra64.exe','');

QuarantineFile('c:\windows\system32\twext.exe','');

QuarantineFile('c:\windows\system32\twex.exe','');

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

DeleteFile('c:\windows\system32\twex.exe');

DeleteFile('c:\windows\system32\twext.exe');

DeleteFile('C:\Windows\system32\sdra64.exe');

DeleteFile('C:\Users\123\AppData\Local\Temp\gAGP440p.sys');

DeleteFile('C:\Windows\system32\svshost.dll');

DeleteFile('C:\Windows\system32\mssrv32.exe');

DeleteFile('c:\users\123\appdata\local\temp\init.exe');

DeleteFile('C:\Users\123\AppData\Local\Temp\init.exe');

DeleteFile('C:\Windows\System32\Drivers\SPTDDRV1.SYS');

BC_ImportDeletedList;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

quarantine.zip - отправьте на newvirus@kaspersky.com

Пофиксите в HiJackThis

Код:

F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Users\123\AppData\Local\Temp\init.exe,C:\Windows\system32\sdra64.exe,C:\Windows\system32\twex.exe,C:\Windows\system32\twext.exe,

lokk555

01-03-2009 19:37 1052237

Отправила. Извините, но я не знаю, что значит пофиксить. Если не трудно, в программе что нажать нужно, а то там все не по-русски.

thyrex

01-03-2009 21:40 1052304

1. Запустить HiJackThis.
2. Нажать кнопку Do system scan only
3. После сканирования поставить галочку напротив вашего пункта
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Users\123\AppData\Local\Temp\init.exe,C:\Windows\system 32\sdra64.exe,C:\Windows\system32\twex.exe,C:\Windows\system32\twext.exe,
4. Нажать кнопку FixChecked

И еще забыл предупредить Вас в предыдущем послании, что логи после лечения нужно повторить и выложить снова в этой же теме. И если придет ответ от newvirus, можете его сообщить здесь

lokk555

02-03-2009 03:44 1052508

Там нет такого пункта: F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Users\123\AppData\Local\Temp\init.exe,C:\Windows\system 32\sdra64.exe,C:\Windows\system32\twex.exe,C:\Windows\system32\twext.exe

Не понятно, когда опять выкладывать логи, в чем заключается лечение - "пофиксить" - в этом?

thyrex

02-03-2009 08:16 1052558

"Пофиксить" значит удалить записи (но не вручную) в реестре, файлах win.ini, system.ini

Выкладывайте новые логи. Будем смотреть

PavelA_VI

02-03-2009 18:04 1053005

'C:\Windows\System32\Drivers\SPTDDRV1.SYS' - это Даемон.

lokk555

02-03-2009 20:06 1053089

Вложений: 1

И что мне с этим даемоном делать? выкладываю новые логи.

lokk555

02-03-2009 20:07 1053090

Вложений: 1

ЛОги

thyrex

02-03-2009 21:13 1053139

Как это ни странно все звери остались на своих местах.
Добавлено по наводке iskander-k из-за моей забывчивости - Отключите восстановление системы

Попробуем так

Код:

begin

  SetAVZGuardStatus(True);

  SearchRootkit(true, true);

  QuarantineFile('C:\Users\123\AppData\Local\Temp\gAGP440p.sys','');

  TerminateProcessByName('c:\windows\system32\twext.exe');

  TerminateProcessByName('c:\windows\system32\twex.exe');

  TerminateProcessByName('c:\windows\system32\sdra64.exe');

  TerminateProcessByName('c:\users\123\appdata\local\temp\init.exe');

  QuarantineFile('C:\Windows\system32\mssrv32.exe','');

  QuarantineFile('C:\Windows\system32\svshost.dll','');

  QuarantineFile('C:\Users\123\AppData\Local\Temp\init.exe','');

  QuarantineFile('c:\windows\system32\twext.exe','');

  QuarantineFile('c:\windows\system32\twex.exe','');

  QuarantineFile('c:\windows\system32\sdra64.exe','');

  QuarantineFile('c:\users\123\appdata\local\temp\init.exe','');

  DeleteFile('c:\users\123\appdata\local\temp\init.exe');

  DeleteFile('c:\windows\system32\sdra64.exe');

  DeleteFile('c:\windows\system32\twex.exe');

  DeleteFile('c:\windows\system32\twext.exe');

  DeleteFile('C:\Users\123\AppData\Local\Temp\init.exe');

  DeleteFile('C:\Windows\system32\svshost.dll');

  DeleteFile('C:\Windows\system32\mssrv32.exe');

  DeleteService('gAGP440p'); 

  DeleteFile('C:\Users\123\AppData\Local\Temp\gAGP440p.sys');

  BC_ImportDeletedList;

  ExecuteSysClean;

  BC_Activate;

  RebootWindows(true);

end.

Пофиксите в HiJack

Код:

 F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Users\123\AppData\Local\Temp\init.exe,C:\Windows\system32\sdra64.exe,C:\Windows\system32\twex.exe,C:\Windows\system32\twext.exe,

Логи повторите

iskander-k

02-03-2009 21:29 1053157

Цитата:

Цитата thyrannosaurus

Как это ни странно все звери остались на своих местах. »

thyrannosaurus, А система восстановления отключена у lokk555, ?
И необходимо провериться утилитой CureIt (согласно рекомендациям)

thyrex

02-03-2009 21:36 1053163

iskander-k, спасибо за напоминание. Хотел же об этом написать. Сейчас добавлю

lokk555

03-03-2009 13:01 1053665

Вложений: 1

Вышеприведенный скрипт выполнила, потом пофиксила, но там опять нет такой строчки F2 - REG: ......... Запустила утилиту Malwarebytes' Anti-Malware - нашлось 3 вируса. (восстановление системы отключено). CureIt запускала ранее, 4 дня назад - много чего нашлось. Сегодня обновила и запустила опять. Выкладываю новые логи.

Pili	03-03-2009 13:44 1053702

lokk555, интернет помощник Mycentria деинсталлируйте.
Запустите AVZ, в меню AVZM выберите "Установить драйвер расширенного мониторинга процессов", далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');

 DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');

 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');

BC_ImportDeletedList;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

lokk555

03-03-2009 15:22 1053802

Вложений: 1

При удалении Mycentria выскочило: возможно приложение уже удалено.
Новые логи.

Pili	03-03-2009 15:38 1053819

lokk555, по логам ничего плохого.
Рекомендую удалить Bonjour Service см. здесь или здесь
Выгрузите драйвер расширенного мониторинга процессов AVZ: запустите AVZ, в меню - AVZM - удалить и выгрузить драйвер расширенного мониторинга процессов.
Проблемы ещё наблюдаются?

lokk555

04-03-2009 06:39 1054444

Похоже, что уже нет проблем. Всем спасибо!

Pili	04-03-2009 08:36 1054490

lokk555, пожалуйста.

Цитата:

8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-268)
>> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Рекомендую отключить неиспользуемые службы и настроить безопасность. Если что-то из вышеперечисленного захотите отключить, скажите, можно будет отключить скриптом.

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем

Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ

lokk555

04-03-2009 17:23 1054862

У меня домашний компьютер. Я не в состоянии определить какие службы нужны.
Может отключить все кроме запуска с диска? И как не работать с правами администратора - напишите попонятней или дайте ссылку, как отключить. Благодарю вас!

Pili	04-03-2009 19:44 1055002

По службам можно почитать здесь и в книге Безопасный Интернет. Универсальная защита для Windows ME - Vista, ссылку ранее давал.
Скрипт

Код:

begin

SetServiceStart('TermService', 4);

SetServiceStart('Schedule', 4);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);

end.

отключает

Цитата:

>> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-268)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Если согласны, можете выполнить скрипт. Если вам нужен планировщик заданий (у вас по логам нет запланированных заданий) и подключение других пользователей к системе через службу терминалов, уберите из скрипта строчки

Код:

SetServiceStart('TermService', 4);

SetServiceStart('Schedule', 4);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);

Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил

Время: 03:50.