|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Подозрение на заражение рабочей станции |
|
|
Подозрение на заражение рабочей станции
|
Пользователь Сообщения: 58 |
Профиль | Отправить PM | Цитировать
Подозрение на заражение рабочей станции. Посмотрите, пожалуйста, логи...
|
|
Отправлено: 17:57, 17-02-2009 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Zabejalo, Здравствуйте. Предварительно, для предотвращения заражения в ходе лечения и после него, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить». begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('abp470n5', 4); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe',''); QuarantineFile('C:\WINDOWS\system32\winsys2.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\llmpnt.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\llmpnt.sys'); DeleteFile('C:\WINDOWS\system32\winsys2.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe'); DeleteService('abp470n5'); DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\system32\winsys2.exe'); BC_DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe'); BC_DeleteFile('C:\WINDOWS\system32\drivers\llmpnt.sys'); BC_DeleteSvc('abp470n5'); BC_Activate; RebootWindows(true); end. Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему, или выложите файл на ifolder.ru или другой файлообменник и дайте ссылку на него мне в ПМ. Драйвер abp470n5 часто связан с наличием файлового вируса, типа sality, поэтому если вы не проверяли систему с помощью cureit и AVPTool, рекомендую проверить, загрузившись в безопасном режиме. Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь и здесь Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска. После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes. Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском) |
------- Отправлено: 18:41, 17-02-2009 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Пользователь Сообщения: 58
|
Профиль | Отправить PM | Цитировать Pili, спасибо! ЗдОрово.. Меня только немного смущает
Цитата Pili:
|
|
Отправлено: 19:05, 17-02-2009 | #3 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Zabejalo, хмм... вообще WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe весит 4.4 МБ, но можете и не ставить, если это дорого.
|
------- Отправлено: 19:09, 17-02-2009 | #4 |
Пользователь Сообщения: 58
|
Профиль | Отправить PM | Цитировать ))) я сначала неправильно понял. уже скачал, спасибо)
|
|
Отправлено: 19:25, 17-02-2009 | #5 |
Пользователь Сообщения: 58
|
Профиль | Отправить PM | Цитировать Pili, файл выложил, а вот дальше не получается: машина не грузится в безопасном режиме.
|
Отправлено: 18:42, 18-02-2009 | #6 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Цитата Zabejalo:
Дополнительно можете распаковать прикрепленный файл и запустить reg файл |
|
------- Отправлено: 19:09, 18-02-2009 | #7 |
Пользователь Сообщения: 58
|
Профиль | Отправить PM | Цитировать Pili, всё сделал. Отчет SDFix (report_) в прикреплённом файле.
Вот ComboFix 09-02-15.01 - Администратор 2009-02-19 14:15:30.1 - NTFSx86 MINIMAL Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.1022.851 [GMT 3:00] Running from: c:\documents and settings\Администратор\Рабочий стол\ComboFix.exe Command switches used :: c:\documents and settings\Администратор\Рабочий стол\WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated) |
Отправлено: 18:50, 19-02-2009 | #8 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Zabejalo, по логам ничего плохого не видно. Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt, запустите, нажмите CleanUp! Пофиксите в hijackthis строчку Проверьте на всякий случай файл c:\windows\system32\winlogon.exe на virustotal.com Как себя чувствует компьютер? |
------- Отправлено: 19:58, 19-02-2009 | #9 |
Пользователь Сообщения: 58
|
Профиль | Отправить PM | Цитировать Pili, спасибо, после таких антибиотиков должен, вроде, чувствовать лучше) Смущает, правда, пара строк в автозагрузке (msconfig). В этой микросетке (6 машин) открыты все жёсткие диски на общий доступ, стоят 6 разных антивирусов - ни один не работает. На всех я прогнал и AVZ и cureit и avp. Нашел только sality.z. И только У этой машины была такая проблема - периодически "теряла сеть", как мне сказали. Сейчас, вроде, всё нормально, хотя, если честно, я так и не понял, болела она чем-нибудь сейчас или нет. Ж-)
|
Отправлено: 20:20, 19-02-2009 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Определение рабочей станции пользователя. | minion | Хочу все знать | 2 | 28-04-2009 08:11 | |
Службы - Остановка служб сервера и рабочей станции | sanchik | Microsoft Windows 2000/XP | 3 | 16-02-2009 14:28 | |
Доступ к рабочей станции членов домена | onefromheart | Microsoft Windows NT/2000/2003 | 4 | 15-01-2009 15:48 | |
Доступ - Нет доступа к рабочей станции | Basick | Microsoft Windows 2000/XP | 3 | 04-02-2008 12:07 | |
Отключение блокировки рабочей станции | bayonet | Microsoft Windows NT/2000/2003 | 0 | 11-01-2007 09:17 |
|