Проблема с вирусами Backdoor атака Firewall
Проблема с вирусами Backdoor атака Firewall
Последний раз редактировалось Макcим; 09.11.2007 в 15:09.
Вместо virusinfo_cure.zip должен быть virusinfo_syscure.zip.
Добавлено через 3 минуты
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\mswapi.dll',''); DeleteFile('C:\WINDOWS\system32\mswapi.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пофиксите в HijackThis:
Сделайте новые логи.Код:O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\system32\mswapi.dll O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)
Последний раз редактировалось Bratez; 09.11.2007 в 14:20. Причина: Добавлено
I am not young enough to know everything...
Установленный на компьютере DrWeb устарел, скачайте новую версию с сайта http://download.drweb.com/win и установите.
mswapi.dll - Trojan-Spy.Win32.Iespy.eh (свеженький! )
I am not young enough to know everything...
сделал новые логи
Пофиксьте:
Проблемы остались?Код:O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
А почему восстановление системы не отключали? Сделайте это сейчас для очистки контрольных точек, ваш троян и там отметился. Посмотрите, что вам не нужно из этого списка:
Код:>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
Проблема вроде ушла интернет не выбивает
на счет контрольных точек отключить восстановление системы и заново пройти avz и hijackthis?
на счет служб, честно сказать не знаю какие нужны, комп в локальной сети
1. Отключите Восстановление системы.
2. Выполните скрипт в AVZ:
3. Повторите логи, начиная с п.10 правил.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('SSDPSRV', 4); ExecuteRepair(17); RebootWindows(true); end.
I am not young enough to know everything...
Сделал новые с пункта 10
Когда теперь можно включить восстановление системы?
Интересно у меня такой же вирус одновременно поймал и главбух а после того как убрал у менеджера интернет перестал вылетать хоть и главбух сидит в интернете! я его наверное тоже проверю ...
в логах чисто ...
восстановление можно включить ...
Здравствуйте! Сделал новые логи главбуха посмотрите их, пожалуйста
пофиксите...
выполните скрипт...Код:O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)
пришлите карантин согласно приложения 3 правил...Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\system32\mswapi.dll',''); QuarantineFile('C:\WINDOWS\system32\magent.exe',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Пофиксил, выполнил скрипт, отправил файл карантина
c:\windows\system32\mswapi.dll
C:\WINDOWS\system32\magent.exeКод:AhnLab-V3 2007.11.13.0 2007.11.13 - AntiVir 7.6.0.34 2007.11.13 - Authentium 4.93.8 2007.11.13 Possibly a new variant of W32/Threat-HLLSI-based!Maximus Avast 4.7.1074.0 2007.11.12 Win32:Iespy-H AVG 7.5.0.503 2007.11.12 - BitDefender 7.2 2007.11.13 - CAT-QuickHeal 9.00 2007.11.12 - ClamAV 0.91.2 2007.11.13 - DrWeb 4.44.0.09170 2007.11.12 - eSafe 7.0.15.0 2007.11.08 suspicious Trojan/Worm eTrust-Vet 31.2.5291 2007.11.13 Win32/Ramerl!generic Ewido 4.0 2007.11.12 - FileAdvisor 1 2007.11.13 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.4.2.54 2007.11.13 W32/Threat-HLLSI-based!Maximus F-Secure 6.70.13030.0 2007.11.13 W32/Horst.gen33 Ikarus T3.1.1.12 2007.11.13 Virus.Win32.Iespy.H Kaspersky 7.0.0.125 2007.11.13 - McAfee 5161 2007.11.12 Downloader-ASL Microsoft 1.3007 2007.11.12 TrojanSpy:Win32/Lespy.gen NOD32v2 2654 2007.11.13 a variant of Win32/Spy.Iespy Norman 5.80.02 2007.11.12 W32/Horst.gen33 Panda 9.0.0.4 2007.11.13 - Prevx1 V2 2007.11.13 - Rising 20.18.02.00 2007.11.12 - Sophos 4.23.0 2007.11.13 - Sunbelt 2.2.907.0 2007.11.13 - Symantec 10 2007.11.13 - TheHacker 6.2.9.124 2007.11.13 - VBA32 3.12.2.4 2007.11.11 - VirusBuster 4.3.26:9 2007.11.12 Trojan.IESPy.Gen Webwasher-Gateway 6.0.1 2007.11.13 Trojan.Downloader.Win32.Malware.gen (suspicious)
выполните скрипт...Код:AhnLab-V3 2007.11.13.0 2007.11.13 - AntiVir 7.6.0.34 2007.11.13 TR/Crypt.Morphine.Gen Authentium 4.93.8 2007.11.13 - Avast 4.7.1074.0 2007.11.12 Win32:Beagle-HU AVG 7.5.0.503 2007.11.12 - BitDefender 7.2 2007.11.13 Packer.Morphine.B CAT-QuickHeal 9.00 2007.11.12 (Suspicious) - DNAScan ClamAV 0.91.2 2007.11.13 Trojan.Packed-86 DrWeb 4.44.0.09170 2007.11.12 Trojan.Spambot.2488 eSafe 7.0.15.0 2007.11.08 Suspicious File eTrust-Vet 31.2.5291 2007.11.13 - Ewido 4.0 2007.11.12 - FileAdvisor 1 2007.11.13 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.4.2.54 2007.11.13 W32/Heuristic-162!Eldorado F-Secure 6.70.13030.0 2007.11.13 - Ikarus T3.1.1.12 2007.11.13 Trojan-Dropper.Win32.Calimocho Kaspersky 7.0.0.125 2007.11.13 Heur.Backdoor.Generic McAfee 5161 2007.11.12 New Malware.bl Microsoft 1.3007 2007.11.12 VirTool:Win32/Obfuscator.E NOD32v2 2654 2007.11.13 a variant of Win32/Bagle Norman 5.80.02 2007.11.12 - Panda 9.0.0.4 2007.11.13 Suspicious file Prevx1 V2 2007.11.13 - Rising 20.18.02.00 2007.11.12 - Sophos 4.23.0 2007.11.13 Mal/EncPk-AM Sunbelt 2.2.907.0 2007.11.13 - Symantec 10 2007.11.13 W32.Monikey@mm TheHacker 6.2.9.124 2007.11.13 - VBA32 3.12.2.4 2007.11.11 MalwareScope.Trojan-PSW.Pinch.1 VirusBuster 4.3.26:9 2007.11.12 Packed/Morphine.B Webwasher-Gateway 6.0.1 2007.11.13 Trojan.Crypt.Morphine.Gen
повторите логи...Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); DeleteFile('c:\windows\system32\magent.exe'); DeleteFile('C:\WINDOWS\system32\mswapi.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось V_Bond; 13.11.2007 в 10:40.
c:\windows\system32\mswapi.dll
Код:
Microsoft 1.3007 2007.11.12 TrojanSpy:Win32/Lespy.gen
C:\WINDOWS\system32\magent.exe
Код:
BitDefender 7.2 2007.11.13 Packer.Morphine.B
Это надо пофиксить? или как?
Добавлено через 8 минут
V_Bond перед сстрокой "выполните скрипт..." текст с приведенным кодом списка вирусов мне просто для ознакомления т.е. только выполнять скрипт?
Последний раз редактировалось Artem84; 13.11.2007 в 10:51. Причина: Добавлено
Да, Вы все правильно поняли.V_Bond перед сстрокой "выполните скрипт..." текст с приведенным кодом списка вирусов мне просто для ознакомления т.е. только выполнять скрипт?
Все сделал заново
Все в порядке. Для зачистки следов выполните скрипт:
Код:begin DelBHO('e3a729da-eabc-df50-1842-dfd682644311'); DelCLSID('e3a729da-eabc-df50-1842-dfd682644311'); DelCLSID('1F460357-8A94-4D71-9CA3-AA4ACF32ED8E'); DelCLSID('92780B25-18CC-41C8-B9BE-3C9C571A8263'); RebootWindows(true); end.
I am not young enough to know everything...
Прошу Вас посмотрите еще вот эти мои файлы
ноутбук загружается при загрузке выдает сообщение xmnt 2002 programm not found -skipping AUTOCHECK
и на ноуте не работает мышка и в списке оборудования везде над каждым устройством желтое окошко с вопросом
Уважаемый(ая) Artem84, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.