Показано с 1 по 7 из 7.

Brontok.AQ & Generic.1138 (заявка № 12825)

  1. #1
    Junior Member Репутация
    Регистрация
    29.09.2007
    Сообщений
    3
    Вес репутации
    34

    Thumbs up Brontok.AQ & Generic.1138

    Здравствуйте!
    Были обнаружены "Brontok.AQ" и "BackDoor.Generic.1138"
    При входе в систему ошибка - "C:\WINDOWS\eksplorasi.exe"
    Подскажите, пожалуйста.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    1. Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
    F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
    2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\eDStoolbar.dll','');
     QuarantineFile('C:\WINDOWS\eksplorasi.exe','');
     DeleteFile('C:\WINDOWS\eksplorasi.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(9);
    ExecuteRepair(12);
    ExecuteRepair(13);
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12825

    3.я так понял, антивирус у вас нод, так почему виден симантек? Нужно удалить симантек совсем. http://service1.symantec.com/SUPPORT...05033108162039
    4.выполнить пункт 2 правил.
    5. сделать новые логи.
    Последний раз редактировалось drongo; 29.09.2007 в 15:30.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Бронток видимо уничтожен антивирусом, остались только следы.
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
    F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
    и сделайте в AVZ: Файл - Восстановление системы - п.13 - Выполнить.

    Еще посмотрите, что вам нужно из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    (что не нужно - поправим).
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    29.09.2007
    Сообщений
    3
    Вес репутации
    34
    drongo, выполнил.
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Как говориться молчание- знак согласия
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    BC_DeleteSvc('symlcbrd');
    BC_DeleteSvc('symlcsvc');
    BC_DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcnet.dll');
    BC_DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe');
    BC_DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys');
    BC_ImportDeletedList;
    SetServiceStart('TermService', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('RDSessMgr', 4);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пофиксилось не все, запустить ещё раз hijack this и пофиксить то что указал выше.

    Чтобы уменьшить шанс заражения, на будущее :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
    Последний раз редактировалось drongo; 29.09.2007 в 20:04.

  7. #6
    Junior Member Репутация
    Регистрация
    29.09.2007
    Сообщений
    3
    Вес репутации
    34
    Благодарю вас!

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) JGB, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. BackDoor.Generic.1138
      От Lisenda в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 02:42
    2. BackDoor.Generic.1138
      От Emin в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 01:51
    3. Brontok и BackDoor.Generic.1138
      От Silver в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 01:43
    4. BackDoor.Generic.1138
      От Batyrzhan в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 07.12.2007, 16:16
    5. BackDoor.Generic.1138
      От Distel в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.09.2007, 20:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00529 seconds with 22 queries