Вирусы на флешке.

Хорошо, тогда установите пока патч WindowsXP-KB958644 по второй ссылке, которую я дал и
сделайте проверку KidoKiller со вставленной флешкой.
Потом,- логи АВЗ и Hijack по правилам. SP3 потом установите.
hffsrv.exe Hide Files and Folders установлена такая программа? Это программа для скрытия файлов и папок, которая часто используется заразой для того, чтобы скрыть собственные файлы, вот он(конфикер) и пользуется. Я бы удалил ее, но это не обязательно, если она вам необходима. Может это ее hffkbd.dll-ка. Поищите C:\windows\hffext\hffkbd.dll через любой файловый менеджер(этот файл в "скрытых", как я понял) и проверьте здесь https://www.virustotal.com/ru/ ссылку на проверку дайте.

8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

И что делать с этими уязвимостями? Компьютер домашний, но подключается к нету через локальную сеть. Агнитум постоянно блокирует атаки с разных айпишников... 
Уязвимостями после заняться можно. Outpost выполняет свою задачу. Кстати, на время лечения необходимо его обязательно выгружать! при сборе логов АВЗ, иначе он работать нормально не даст, а так же ваш антивирус.

Да, такая программа hffsrv.exe Hide Files and Folders у меня действительно установлена, скачал я её с инета, сносить по некоторым причинам не хочу, но если там действительно есть зараза, то я её конечно снесу и установлю что-то другое.
Вот линки на проверку
https://www.virustotal.com/ru/analisis/13af...1fc2-1242229000

https://www.virustotal.com/ru/analisis/86db...e9c0-1238334641

Всвязи с этим два (как обычно:)) вопроса.
Я переодически делаю сканирование системы НОДом, а он упорно находит этот файл hffsrv в папке Temporary Internet Files, и определяет его как червя, причём отыскать этот файл в этой папке у меня не получилось. Ну и ессно отправить его в карантин. Может, в самом деле просто снести эту прогу да и не парить себе мози?

Переодически и внезапно svchost.exe запрашивает интернет соединение, агнитум его блокирует. Это может быть как-то связано с этим предполагаемым червём?

(chicolatino @ 06.06.2009 - время: 13:25) Может, в самом деле просто снести эту прогу да и не парить себе мози?

Переодически и внезапно svchost.exe запрашивает интернет соединение, агнитум его блокирует. Это может быть как-то связано с этим предполагаемым червём?
Прежде:
C:\windows\hffext\hffkbd.dll запакуйте в архив и залейте https://www.slil.ru/ ссылку дайте. Это ложный детект скорее всего.
Теперь о проблемме вашей:
1. Hide Files and Folders удалите на время лечения, чтобы не мешала.
2. Отключите восстановление системы и очистите все временные файлы системы и браузеров.
3. Червь не предполагаемый, он реальный и кроме него может быть еще много всякого, чего без логов не увидеть. Сетевая активность svchost.exe может быть связана с червем, а может и с другой заразой.
Вроде ответил на все ваши вопросы. Теперь мои:
1. Патч KB958644 установлен, проверка KidoKiller проводилась? Результаты?
2. Логи АВЗ и Hijack запрашиваю в последний раз. Или лечение или беседы на отвлеченные темы, выбирайте.

Да, конечно, извините, выбираю лечение. Так как я в этом вопросе заинтересованное лицо номер один, то разговаривать на посторонние темы больше не буду. Итак, по порядку.
Файлы hffext запаковал в архив и залил. Вот адрес https://slil.ru/27732528
Саму программу снёс, отключил восстановление системы, почистил кэш броузера, удалид временные интернет файлы, выгрузил антивирус и брандмауэр, отключил интернет.
К компьютеру подключил флешку и два выносных жёстких, общим объёмом 0.5 терабайт, которые тоже хотел проверить, начал сканирование. Прежде всего, воспользоваться утилитой KB958644 не получилось. При установке появилось сообщение, что этот патч не может быть установлен, потому что язык патча отличается от языка виндоус. Судя по всему, я скачал англоязычный патч. Но ещё позавчера я скачал две утилиты, одна из которых НОДовская и называется что-то типа "антиконфикер", вторая МС windows-kb890830-v2.10. Позавчера первая утилита ничего не нашла, а вот со второй произошли некоторые непонятки. Позавчера же я сделал поверхностный скан компютера, причём программу hffext я тогда ещё не снёс. Тогда kb890830 ничего не нашла. Вчера я решил сделать этой же программой полный скан компа при всех вышеописанных условиях. Внутренние жесткие диски сканировались около пяти часов, и, насколько я успел заметить, там было найдено два вируса. Однако, когда началось сканирование выносных жёстких, комп практически сразу отключился, судя по всему, у процессора не хватает мощности на обработку дополнительных жёстких дисков такого объёма. Тем не менее, я ещё раз сделал поверхностный скан компа без дополнительных дисков. Программа нашла два вируса conficker B, C (так она их назвала) и удалила оба. Где нашла- не знаю, эту информацию она не выдавала.
После этого просканировал комп HiJackThis и АВЗ. Последнюю прогу скачал в виде архива, разархивировал его, обновил и запускал из папки. После сканирования просмотрел все файлы в этой папке, нигде архива virusinfo_syscure.zip не нашёл. Если бы вы подробнее объяснили, где его искать, я б его тоже залил на файлообменник. А пока прикрепляю то, что есть.

Почему-то не получилось прикрепить два лога в одно сообщение, прикрепляю второй сюда, надеюсь, модеры меня за это не накажут...

При установке появилось сообщение, что этот патч не может быть установлен, потому что язык патча отличается от языка виндоус.
Так выберите язык вашей системы там же на страничке загрузки KB958644. Там же меню есть, в чем проблема-то?
Тем не менее, я ещё раз сделал поверхностный скан компа без дополнительных дисков. Программа нашла два вируса conficker B, C (так она их назвала) и удалила оба
Она -это утилка от ESET или KidoKiller?
Как получить логи AVZ:
....4.Отключиться от интернета и закрыть все запущенные приложения(кроме IE ), включая ваш антивирус и фаервол!

5. Запустить*** AVZ\файл\выполнить стандартные скрипты\скрипт №3 "лечения и карантина и сбора информации..." поставить напротв строки галочку, нажать кнопку "выполнить отмеченные скрипты"
После выполнения перезагрузить систему!

6. После этого, таким же образом, выполнить стандартный скрипт №2(перезагрузка не обязательна).

7. запустить*** HijackThis, нажать "Do a system scan and save a logfile.
Лог, в виде текстового файла, сохранится в папке с программой HijackThis.


8. Логи АВЗ: virusinfo_syscure.zip и virusinfo_syscheck.zip сохранятся в папке avz4\LOG.
Эти логи + hijackthis.log залить https://www.slil.ru/

***Все пункты выполнять от имени администратора!
В Windows Vista администратор понижен в правах по умолчанию, поэтому запускать нужно нажав правой кнопкой мыши на запускаемую программу(AVZ и HijackThis), выбрать пункт "запустить от имени администратора (Run as administrator)", ввести пароль и нажать кнопку OK.

Увас и hijack this запущена из temp-папки. Нужно распаковать скачаный архив AVZ на раб.стол или в корень диска(да куда угодно) и запускать не из темпа или архива.

Кажется, в этот раз я всё сделал правильно.
Теперь по порядку. В своём предыдущем посте я писал про утилиту МС windows-kb890830-v2.10. Это она позавчера ничего не обнаружила, а вчера нашла на компе два вируса. ESET "антиконфикер" не нашёл ничего.
KB958644 я сегодя тоже установил и... всё. Она должна выполнять какие-то действия? Я имею в виду, должна предлагать сканирование компьютера?
Все логи собрал по правилам и залил. Вот адреса:
https://slil.ru/27735242
https://slil.ru/27735250
https://slil.ru/27735253

J это флешка, как я понял. Не отключайте ее, оставте подключенной.
Закройте все открытые приложения, кроме АVZ.
Отключите:
- ПК от интернета, локалки
- Антивирус и Файрвол.
- Системное восстановление! Повторяю.
АВЗ\файл\выполнить скрипт\скопируйте скрипт в окошко и нажмите выполнить. Система перезагрузится.

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\drivers\pe3ak2jb.sys','');
QuarantineFile('J:\autorun.inf','');
DeleteFile('J:\autorun.inf');
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Файл карантина из папки АВЗ залейте на слил.ру ссылку дайте.
Этот файл вам знаком? C:\Documents and Settings\Администратор.HOME-68B6EAF056\Мои документы\explorer.pif что-то знакомое. Это не АВЗ случайно переименованая? Если нет, проверьте его на https://www.virustotal.com/ru/ ссылку на проверку разместите в следующем сообщении.
Повторите лог №2 syscheck.zip c подключенной флешкой и вашими USB дисками(в АВЗ ничего дополнительно помечать не нужно просто выполните стандартный скрипт №2)

Adobe\Reader 8.0 необходимо обновить до последней версии.
NortonSystemWorks 2004- не понимаю, зачем это старье у вас на компьютере.
После того, как сделаете и выложите новый лог АВЗ, проверьте систему KidoKiller'ом.
НОД продолжает ругаться на конфикера, или успокойлся?
KB958644 я сегодя тоже установил и... всё. Она должна выполнять какие-то действия? Я имею в виду, должна предлагать сканирование компьютера? 
Нет, это патч-системная заплатка, которая прикрывает дыру используемую conficker.

Всё сделал, как вы рекомендовали. События развивались следующим образом. Вчера вытащил флешку из компа и никуда её больше не включал (флешка это J). Сегодня утром опять вставил, НОД обнаружил на ней в авторане конфикера, которого удалил (потребовал перезагрузиться). После этого я выполнил скрипт, файл карантина здесь: https://slil.ru/27739572
Затем подключил к компу два жёстких, на одном из них НОД опять обнаружил конфикера в авторане, которого опят-таки удалил с перезагрузкой. Затем я выполнил скрипт №2 с подключённым флешкой и жёсткими. Результат здесь: https://slil.ru/27739614
Скрипт пришлось выполнять два раза, потому что в первый раз после очередной перезагрузки я забыл отключить антивирус и брандмауэр. После этого сделал поверхностный скан компа и всех подключённых дисков утилитой windows-kb890830-v2.10. Она ничего не нашла.
Этот файл C:\Documents and Settings\Администратор.HOME-68B6EAF056\Мои документы\explorer.pif вы мне рекомендовали для проверки ноута, я его скачал, но по прямому назначению ещё не использовал. Я сейчас плотно работаю на ноуте, пока ищу червей на стац. компе:), поэтому проверку ноута пока пришлось отложить. Адоб обновил. НОД пока молчит.

Система и карантин чистые. Конфикера видимо НОД удалил до скрипта.
>>  Нарушение ассоциации SCR файлов
АВЗ\файл\мастер поиска и устранения проблем\системные\"проблемы средней тяжести" измените в меню на "все" проблеммы\пуск. Какие найдёт, пометте галочками-кнопка "исправить отмеченные"(автоматическое обновление и автозапуск с CD по желанию). Автозапуск со сменных носителей рекомендую отключить, но это ваше дело.
Сетевая активность svchost.exe наблюдается?
Теперь о ваших уязвимостях:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
https://security-advisory.virusinfo.info/EBook30.htm
Внимательно прочитайте раздел "Основные службы (Windows XP, Vista)" и приведите их состояние и режимы запуска, как там рекомендовано. Да и вообще прочитайте все что в этой книжке советуют.
Если надумаете все же устанавливать SP3 помните, что необходимо обязательно выгрузить(а лучше всего удалить на время) все программы безопасности, иначе могут возникнуть проблеммы при установке и после! Так же после установки потребуется повторная активация Windows!
НОД обнаружил на ней в авторане конфикера, которого удалил (потребовал перезагрузиться).
ESET как всегда жжет! Чтобы удалить авторан с флешки необходимо перезагрузить систему в мести с собой! Даже разделов на форуме еще не придумано, куда это можно поместить)
C:\Documents and Settings\Администратор.HOME-68B6EAF056\Мои документы\explorer.pif вы мне рекомендовали для проверки ноута
Семен Семеныч... :)) Забыл.

То, что заразы нет, это очень радует. Но всё-таки у меня опять-таки есть несколько вопросов. Можно ли с достаточной степенью достоверности определить, а был ли вообще этот конфикер? Спрашиваю потому, что прочитал о нём кое-какую информацию и с уверенностью могу сказать, что описываемых симтомов у меня на компе не было, хотя понимаю, что это ещё не доказательство того, что не было самого вируса.
Что мне делать с программой hffext? Можно её установить обратно или не стОит?
Первую вашу рекомендацию я выполнил, но вот с уязвимостями немного не получилось. Эту тему я в книге прочитал, однако ресурс, с которого можно скачать Windows Worms Doors Cleaner сейчас недоступен. Можно ли разобраться с этими уязвимостями как-то иначе?
svchost.exe за последние два дня вроде закконектиться не пытался...
За остальные рекомендации- большое спасибо!

Можно ли с достаточной степенью достоверности определить, а был ли вообще этот конфикер?
Был, не переживайте) Что по вашему удаляли утилиты и НОД? Симптомы у разных его версий, разные. И в системах поведение его тоже разное, в зависимости от их конфигурации и установленного ПО.
Что мне делать с программой hffext? Можно её установить обратно или не стОит?
Если она вам нужна, установите. Сама по себе она вредоносного действия не несет и от программ безопасности она ничего не скрывает, только от ваших глаз.
Первую вашу рекомендацию я выполнил, но вот с уязвимостями немного не получилось. Эту тему я в книге прочитал, однако ресурс, с которого можно скачать Windows Worms Doors Cleaner сейчас недоступен. Можно ли разобраться с этими уязвимостями как-то иначе?
Первую рекомендацию, это какую, SP3 установили? Или первую из прошлого поста "поиск и устранение проблемм"?
Что у вас не получилось с настройками служб? Конкретнее. Работающие уязвимые сервисы, это и есть ваши уязвимости.
Windows Worms Doors Cleaner можете здесь скачать https://www.sendspace.com/file/342piq, но у вас хороший firewall установлен и при правильной настройке он неплохо защищает.

Был, не переживайте)
Я как раз переживаю, что он был:))
Нет, третий сервиспак я ещё не установил, а сделал вот это:
>>  Нарушение ассоциации SCR файлов
С уязвимостями просто не удалось скачать рекомендованную утилиту по указанному адресу. По второму адресу я её скачал, так что отключу уязвимости, как описано в книге.
Насчёт Агнитума- да, он хороший, но вот с настройками... Нужно много времени, чтобы с ними разобраться и правильно их установить...
Через некоторое время я ещё хочу проверить ноут, думаю, там тоже что-то сидит. Сначала сделаю, как вы раньше рекомендовали, а если что-то не получится- спрошу опять.
Спасибо, удачи, с меня +1!

(chicolatino @ 09.06.2009 - время: 17:06) С уязвимостями просто не удалось скачать рекомендованную утилиту по указанному адресу. По второму адресу я её скачал, так что отключу уязвимости, как описано в книге.
Насчёт Агнитума- да, он хороший, но вот с настройками... Нужно много времени, чтобы с ними разобраться и правильно их установить...
Через некоторое время я ещё хочу проверить ноут, думаю, там тоже что-то сидит. Сначала сделаю, как вы раньше рекомендовали, а если что-то не получится- спрошу опять.
Спасибо, удачи, с меня +1!
Или я вас не понял или вы меня. Windows Worms Doors Cleaner не устраняет уязвимости, он лишь частично прикрывает уязвимые порты. Повторю, уязвимости -это запущеные службы, которые рекомендуется отключить. Каждая из них может быть использована трояном для выполнения своих целей(проникновение, сохранение себя в системе, распостранение, передача ваших данных злоумышленнику, порча данных, удаленное управление вашей системой... и многое доугое). Windows Worms Doors Cleaner здесь не поможет.

Повторю, уязвимости -это запущеные службы, которые рекомендуется отключить.
А как это сделать? Насколько я понял из этой книги, сделать это можно при помощи программы Windows Worms Doors Cleaner. Наверное, я ошибся...

(chicolatino @ 10.06.2009 - время: 15:22) А как это сделать? Насколько я понял из этой книги, сделать это можно при помощи программы Windows Worms Doors Cleaner. Наверное, я ошибся...
Пуск\панель управления\администрирование\службы
Правой кнопкой мыши на службу\свойства и выбираете например "стоп", тип запуска "отключено", применить. После того как весь список приведете в соответствие с рекомендацией, перезагружаете систему.
Так же на главной странице есть уже готовый файл конфигурации EXE https://security-advisory.virusinfo.info/ Его можно просто запустить и потом перезагрузиться, но я хотел, чтобы вы вручную выбирали что и как отключать, тогда при необходимости сможете запустить нужную службу.

Повторю, уязвимости -это запущеные службы, которые рекомендуется отключить.

Упаси боже такое говорить, когда сотрудники Microsoft`а вокруг нас.
Ладно... Но мне просто интересно, какие службы Майкрософта способствуют проникновению вирусов? Никогда про такое не слышал...

Для примера NetBIOS, Telnet, Server,Terminal Services, удаленный помошник, уд. раб. стол это которые я напрямую буду использовать, чтобы получить шелл вашей машины безо всяких троянов, сканом портов и эксплоитом. Мне нужен будет только например ваш 445(можно и другой) порт, и рабочие службы. Мне даже пароля вашего не нужно, залью вам радмин-сервер какой нибудь, терминал, создам учетку, подключусь через удаленный рабочий стол и будем с вами вдвоем вашим интернетом пользоваться. Но это боян и геморой. Проще трояна вам запустить, пускай делает все в автоматическом режиме, а трояна вы и сами из сети возьмете и даже добровольно себе установите, например с кряком каким нибудь. Вот тогда при рабочих сервисах он сможет развернуться в системе как следует.
Вот совсем свежая тема прямо к вашему вопросу https://www.globalforum.ru/index.php?showtopic=258298

(Mateo @ 10.06.2009 - время: 23:53) Повторю, уязвимости -это запущеные службы, которые рекомендуется отключить.
Но мне просто интересно, какие службы Майкрософта способствуют проникновению вирусов? Никогда про такое не слышал...
Это страшилки для начинающих пользователей. :) Из серии городских легенд. Особенно мне понравилась история про lanmanserver и "разворачивание при работающих сервисах".

Какой-то я сегодня ворчливый и критикующий. М-дя. ПМС и кармические потоки, явно.

(JeyLo @ 11.06.2009 - время: 11:03)
Это страшилки для начинающих пользователей. :) Из серии городских легенд. Особенно мне понравилась история про lanmanserver и "разворачивание при работающих сервисах".

Какой-то я сегодня ворчливый и критикующий. М-дя. ПМС и кармические потоки, явно.
Откуда такой скепсис? Сиситема рабочая, по крайней мере не вижу причины ей не работать. Инструмент самый простой: Metasploit + XSpider или ip angry. Или ты хочешь сказать что это тоже байка:
https://www.tarasco.org/security/smbrelay/index.html Наличие эксплоита -да( MS08-067_netapi ). Чего тебе еще не хватает? Даже видео было по реальному взлому(если можно его так назвать) на BlackHat кажется...
M$ разумеется эту дырку прикрыла https://support.microsoft.com/kb/957097/ru , но не все же у нас ставят заплатки вовремя, да что заплатки,- сервис паки не ставят даже. Так что не мешай пугать, пускай народ обновляется)))