Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Подозрение на заражение рабочей станции

Ответить
Настройки темы
Подозрение на заражение рабочей станции

Пользователь


Сообщения: 58
Благодарности: 2

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip hijackthis.zip
(1.8 Kb, 5 просмотров)
Подозрение на заражение рабочей станции. Посмотрите, пожалуйста, логи...

Отправлено: 17:57, 17-02-2009

 

Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать


Zabejalo, Здравствуйте. Предварительно, для предотвращения заражения в ходе лечения и после него, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».
Код: Выделить весь код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('abp470n5', 4);
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe','');
 QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\llmpnt.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\llmpnt.sys');
 DeleteFile('C:\WINDOWS\system32\winsys2.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe');
 DeleteService('abp470n5');
 DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\system32\winsys2.exe');
 BC_DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\llmpnt.sys');
 BC_DeleteSvc('abp470n5');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код: Выделить весь код
begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему, или выложите файл на ifolder.ru или другой файлообменник и дайте ссылку на него мне в ПМ.
Драйвер abp470n5 часто связан с наличием файлового вируса, типа sality, поэтому если вы не проверяли систему с помощью cureit и AVPTool, рекомендую проверить, загрузившись в безопасном режиме.

Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь и здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ


Отправлено: 18:41, 17-02-2009 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Пользователь


Сообщения: 58
Благодарности: 2

Профиль | Отправить PM | Цитировать


Pili, спасибо! ЗдОрово.. Меня только немного смущает
Цитата Pili:
скачайте установочный файл для своей ОС »
, т.е. я так понимаю, надо скачивать установочный образ системы... а это г. Астрахань, с 2.70 за Мб по дайлапу или adslью с обрывами, отключениями и медленной скоростью)

Отправлено: 19:05, 17-02-2009 | #3


Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать


Zabejalo, хмм... вообще WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe весит 4.4 МБ, но можете и не ставить, если это дорого.

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ


Отправлено: 19:09, 17-02-2009 | #4


Пользователь


Сообщения: 58
Благодарности: 2

Профиль | Отправить PM | Цитировать


))) я сначала неправильно понял. уже скачал, спасибо)

Отправлено: 19:25, 17-02-2009 | #5


Пользователь


Сообщения: 58
Благодарности: 2

Профиль | Отправить PM | Цитировать


Pili, файл выложил, а вот дальше не получается: машина не грузится в безопасном режиме.

Отправлено: 18:42, 18-02-2009 | #6


Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip safeboot.zip
(1.3 Kb, 31 просмотров)

Цитата Zabejalo:
машина не грузится в безопасном режиме. »
В AVZ - восстановление - п.10.
Дополнительно можете распаковать прикрепленный файл и запустить reg файл

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ


Отправлено: 19:09, 18-02-2009 | #7


Пользователь


Сообщения: 58
Благодарности: 2

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip report_.zip
(2.6 Kb, 1 просмотров)

Pili, всё сделал. Отчет SDFix (report_) в прикреплённом файле.

Вот ComboFix 09-02-15.01 - Администратор 2009-02-19 14:15:30.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.1022.851 [GMT 3:00]
Running from: c:\documents and settings\Администратор\Рабочий стол\ComboFix.exe
Command switches used :: c:\documents and settings\Администратор\Рабочий стол\WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated)
читать дальше »


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system\oeminfo.ini

.
((((((((((((((((((((((((( Files Created from 2009-01-19 to 2009-02-19 )))))))))))))))))))))))))))))))
.

2009-02-19 14:06 . 2009-02-19 14:06 <DIR> d-------- c:\windows\ERUNT
2009-02-19 14:04 . 2007-05-23 12:13 <DIR> d--h----- c:\documents and settings\Администратор\Шаблоны
2009-02-19 14:04 . 2007-05-23 12:13 <DIR> d--h----- c:\documents and settings\Администратор\Шаблоны
2009-02-19 14:04 . 2009-02-19 14:12 <DIR> d-------- c:\documents and settings\Администратор\Рабочий стол
2009-02-19 14:04 . 2009-02-19 14:12 <DIR> d-------- c:\documents and settings\Администратор\Рабочий стол
2009-02-19 14:04 . 2007-05-23 16:07 <DIR> d-------- c:\documents and settings\Администратор\Мои документы
2009-02-19 14:04 . 2007-05-23 16:07 <DIR> d-------- c:\documents and settings\Администратор\Мои документы
2009-02-19 14:04 . 2007-05-23 16:07 <DIR> dr------- c:\documents and settings\Администратор\Главное меню
2009-02-19 14:04 . 2007-05-23 16:07 <DIR> dr------- c:\documents and settings\Администратор\Главное меню
2009-02-19 14:04 . 2009-02-19 14:04 <DIR> d-------- c:\documents and settings\Администратор\Избранное
2009-02-19 14:04 . 2009-02-19 14:04 <DIR> d-------- c:\documents and settings\Администратор\Избранное
2009-02-19 14:04 . 2009-02-19 14:04 <DIR> d-------- c:\documents and settings\Администратор
2009-02-18 16:22 . 2009-02-19 14:10 <DIR> d-------- C:\SDFix
2009-02-08 21:29 . 2009-02-08 21:29 11,264 --a------ c:\windows\system32\drivers\uzk0ndkx.sys
2009-02-07 19:15 . 2009-02-07 19:15 <DIR> d-------- c:\documents and settings\Admin\DoctorWeb
2009-02-07 13:24 . 2009-02-19 09:32 136,388,640 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-02-07 13:24 . 2009-02-19 09:32 1,600,424 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-01-30 11:07 . 2009-01-30 11:07 <DIR> d-------- c:\program files\ESET
2009-01-30 11:07 . 2009-01-30 11:07 <DIR> d-------- c:\documents and settings\All Users\Application Data\ESET
2009-01-27 12:27 . 2008-12-23 17:51 9,828 --a------ C:\EANG000.TTF
2009-01-27 12:20 . 2009-01-27 12:20 <DIR> d-------- c:\documents and settings\Admin\WINDOWS
2009-01-27 12:20 . 1997-06-02 12:15 298,496 --a------ c:\windows\unin0419.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-30 08:43 --------- d-----w c:\program files\Winamp
2009-01-30 08:35 --------- d-----w c:\program files\Common Files\ACD Systems
2009-01-27 09:22 --------- d-----w c:\program files\1Cv77Buh
.

------- Sigcheck -------

2004-09-17 14:16 503808 a975a70fcefe2a224412214320c89ded c:\windows\system32\winlogon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"="m‘|\ь" [X]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-28 81920]
"CAP3ON"="c:\windows\system32\spool\drivers\w32x86\3\CAP3ONN.EXE" [2002-08-22 22528]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-11-10 1980200]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-19 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2007-08-03 c:\windows\SkyTel.EXE]
"nwiz"="nwiz.exe" [2007-06-28 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

c:\documents and settings\All Users\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
Canon LASER SHOT LBP-1120 тїуAзизц.LNK - c:\windows\system32\spool\drivers\w32x86\3\CAP3LAK.EXE [2008-09-01 30720]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2002-04-26 20:53 12288 c:\program files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\ALCMTR.EXE"=
"c:\\WINDOWS\\system32\\nwiz.exe"=
"c:\\WINDOWS\\system32\\userinit.exe"=
"c:\\WINDOWS\\RTHDCPL.EXE"=
"c:\\WINDOWS\\SkyTel.EXE"=

R1 uzk0ndkx;AVZ-RK Kernel Driver;c:\windows\system32\drivers\uzk0ndkx.sys [2009-02-08 11264]
S1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2008-11-10 104456]
S1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2008-11-10 92168]
S2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2008-11-10 711240]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
.
- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-Trickler - c:\documents and settings\admin\local settings\temp\~vis0000\fsg_4104.exe



**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-19 14:16:21
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2009-02-19 14:17:05
ComboFix-quarantined-files.txt 2009-02-19 11:17:04

Pre-Run: 81*683*673*088 байт свободно
Post-Run: 81,677,623,296 байт свободно

109


Отправлено: 18:50, 19-02-2009 | #8


Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать


Zabejalo, по логам ничего плохого не видно. Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt, запустите, нажмите CleanUp!
Пофиксите в hijackthis строчку
Код: Выделить весь код
O4 - HKLM\..\Run: [GEST]
Проверьте на всякий случай файл c:\windows\system32\winlogon.exe на virustotal.com
Как себя чувствует компьютер?

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ

Это сообщение посчитали полезным следующие участники:

Отправлено: 19:58, 19-02-2009 | #9


Пользователь


Сообщения: 58
Благодарности: 2

Профиль | Отправить PM | Цитировать


Pili, спасибо, после таких антибиотиков должен, вроде, чувствовать лучше) Смущает, правда, пара строк в автозагрузке (msconfig). В этой микросетке (6 машин) открыты все жёсткие диски на общий доступ, стоят 6 разных антивирусов - ни один не работает. На всех я прогнал и AVZ и cureit и avp. Нашел только sality.z. И только У этой машины была такая проблема - периодически "теряла сеть", как мне сказали. Сейчас, вроде, всё нормально, хотя, если честно, я так и не понял, болела она чем-нибудь сейчас или нет. Ж-)

Отправлено: 20:20, 19-02-2009 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Подозрение на заражение рабочей станции

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Определение рабочей станции пользователя. minion Хочу все знать 2 28-04-2009 08:11
Службы - Остановка служб сервера и рабочей станции sanchik Microsoft Windows 2000/XP 3 16-02-2009 14:28
Доступ к рабочей станции членов домена onefromheart Microsoft Windows NT/2000/2003 4 15-01-2009 15:48
Доступ - Нет доступа к рабочей станции Basick Microsoft Windows 2000/XP 3 04-02-2008 12:07
Отключение блокировки рабочей станции bayonet Microsoft Windows NT/2000/2003 0 11-01-2007 09:17




 
Переход