Проблема с вирусами Backdoor атака Firewall

**Artem84** · 09.11.2007, 14:13

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 09.11.2007, 14:19

Вместо virusinfo_cure.zip должен быть virusinfo_syscure.zip.

Добавлено через 3 минуты

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');
 DeleteFile('C:\WINDOWS\system32\mswapi.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пофиксите в HijackThis:

Код:

O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\system32\mswapi.dll
O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)

Сделайте новые логи.

**AndreyKa** · 09.11.2007, 15:00

Установленный на компьютере DrWeb устарел, скачайте новую версию с сайта http://download.drweb.com/win и установите.

**Bratez** · 09.11.2007, 15:14

mswapi.dll - Trojan-Spy.Win32.Iespy.eh (свеженький!

)

**Artem84** · 12.11.2007, 09:44

сделал новые логи

**rubin** · 12.11.2007, 09:56

Пофиксьте:

Код:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Проблемы остались?

**Bratez** · 12.11.2007, 10:22

А почему восстановление системы не отключали? Сделайте это сейчас для очистки контрольных точек, ваш троян и там отметился. Посмотрите, что вам не нужно из этого списка:

Код:

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

**Artem84** · 12.11.2007, 10:54

Проблема вроде ушла интернет не выбивает
на счет контрольных точек отключить восстановление системы и заново пройти avz и hijackthis?
на счет служб, честно сказать не знаю какие нужны, комп в локальной сети

**Bratez** · 12.11.2007, 11:04

1. Отключите Восстановление системы.
2. Выполните скрипт в AVZ:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
ExecuteRepair(17);
RebootWindows(true);
end.

3. Повторите логи, начиная с п.10 правил.

**Artem84** · 12.11.2007, 12:09

Сделал новые с пункта 10
Когда теперь можно включить восстановление системы?
Интересно у меня такой же вирус одновременно поймал и главбух а после того как убрал у менеджера интернет перестал вылетать хоть и главбух сидит в интернете! я его наверное тоже проверю ...

**V_Bond** · 12.11.2007, 12:22

в логах чисто ...
восстановление можно включить ...

**Artem84** · 13.11.2007, 09:30

Здравствуйте! Сделал новые логи главбуха посмотрите их, пожалуйста

**V_Bond** · 13.11.2007, 09:52

пофиксите...

Код:

O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)

выполните скрипт...

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');
 QuarantineFile('C:\WINDOWS\system32\magent.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил...

**Artem84** · 13.11.2007, 10:24

Пофиксил, выполнил скрипт, отправил файл карантина

**V_Bond** · 13.11.2007, 10:35

c:\windows\system32\mswapi.dll

Код:

AhnLab-V3	2007.11.13.0	2007.11.13	-
AntiVir	7.6.0.34	2007.11.13	-
Authentium	4.93.8	2007.11.13	Possibly a new variant of W32/Threat-HLLSI-based!Maximus
Avast	4.7.1074.0	2007.11.12	Win32:Iespy-H
AVG	7.5.0.503	2007.11.12	-
BitDefender	7.2	2007.11.13	-
CAT-QuickHeal	9.00	2007.11.12	-
ClamAV	0.91.2	2007.11.13	-
DrWeb	4.44.0.09170	2007.11.12	-
eSafe	7.0.15.0	2007.11.08	suspicious Trojan/Worm
eTrust-Vet	31.2.5291	2007.11.13	Win32/Ramerl!generic
Ewido	4.0	2007.11.12	-
FileAdvisor	1	2007.11.13	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.4.2.54	2007.11.13	W32/Threat-HLLSI-based!Maximus
F-Secure	6.70.13030.0	2007.11.13	W32/Horst.gen33
Ikarus	T3.1.1.12	2007.11.13	Virus.Win32.Iespy.H
Kaspersky	7.0.0.125	2007.11.13	-
McAfee	5161	2007.11.12	Downloader-ASL
Microsoft	1.3007	2007.11.12	TrojanSpy:Win32/Lespy.gen
NOD32v2	2654	2007.11.13	a variant of Win32/Spy.Iespy
Norman	5.80.02	2007.11.12	W32/Horst.gen33
Panda	9.0.0.4	2007.11.13	-
Prevx1	V2	2007.11.13	-
Rising	20.18.02.00	2007.11.12	-
Sophos	4.23.0	2007.11.13	-
Sunbelt	2.2.907.0	2007.11.13	-
Symantec	10	2007.11.13	-
TheHacker	6.2.9.124	2007.11.13	-
VBA32	3.12.2.4	2007.11.11	-
VirusBuster	4.3.26:9	2007.11.12	Trojan.IESPy.Gen
Webwasher-Gateway	6.0.1	2007.11.13	Trojan.Downloader.Win32.Malware.gen (suspicious)

C:\WINDOWS\system32\magent.exe

Код:

AhnLab-V3	2007.11.13.0	2007.11.13	-
AntiVir	7.6.0.34	2007.11.13	TR/Crypt.Morphine.Gen
Authentium	4.93.8	2007.11.13	-
Avast	4.7.1074.0	2007.11.12	Win32:Beagle-HU
AVG	7.5.0.503	2007.11.12	-
BitDefender	7.2	2007.11.13	Packer.Morphine.B
CAT-QuickHeal	9.00	2007.11.12	(Suspicious) - DNAScan
ClamAV	0.91.2	2007.11.13	Trojan.Packed-86
DrWeb	4.44.0.09170	2007.11.12	Trojan.Spambot.2488
eSafe	7.0.15.0	2007.11.08	Suspicious File
eTrust-Vet	31.2.5291	2007.11.13	-
Ewido	4.0	2007.11.12	-
FileAdvisor	1	2007.11.13	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.4.2.54	2007.11.13	W32/Heuristic-162!Eldorado
F-Secure	6.70.13030.0	2007.11.13	-
Ikarus	T3.1.1.12	2007.11.13	Trojan-Dropper.Win32.Calimocho
Kaspersky	7.0.0.125	2007.11.13	Heur.Backdoor.Generic
McAfee	5161	2007.11.12	New Malware.bl
Microsoft	1.3007	2007.11.12	VirTool:Win32/Obfuscator.E
NOD32v2	2654	2007.11.13	a variant of Win32/Bagle
Norman	5.80.02	2007.11.12	-
Panda	9.0.0.4	2007.11.13	Suspicious file
Prevx1	V2	2007.11.13	-
Rising	20.18.02.00	2007.11.12	-
Sophos	4.23.0	2007.11.13	Mal/EncPk-AM
Sunbelt	2.2.907.0	2007.11.13	-
Symantec	10	2007.11.13	W32.Monikey@mm
TheHacker	6.2.9.124	2007.11.13	-
VBA32	3.12.2.4	2007.11.11	MalwareScope.Trojan-PSW.Pinch.1
VirusBuster	4.3.26:9	2007.11.12	Packed/Morphine.B
Webwasher-Gateway	6.0.1	2007.11.13	Trojan.Crypt.Morphine.Gen

выполните скрипт...

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DeleteFile('c:\windows\system32\magent.exe');
 DeleteFile('C:\WINDOWS\system32\mswapi.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи...

**Artem84** · 13.11.2007, 10:51

c:\windows\system32\mswapi.dll
Код:
Microsoft 1.3007 2007.11.12 TrojanSpy:Win32/Lespy.gen

C:\WINDOWS\system32\magent.exe
Код:
BitDefender 7.2 2007.11.13 Packer.Morphine.B

Это надо пофиксить? или как?

Добавлено через 8 минут

V_Bond перед сстрокой "выполните скрипт..." текст с приведенным кодом списка вирусов мне просто для ознакомления т.е. только выполнять скрипт?

**Макcим** · 13.11.2007, 11:03

V_Bond перед сстрокой "выполните скрипт..." текст с приведенным кодом списка вирусов мне просто для ознакомления т.е. только выполнять скрипт?

Да, Вы все правильно поняли.

**Artem84** · 13.11.2007, 11:34

Все сделал заново

**Bratez** · 13.11.2007, 14:17

Все в порядке. Для зачистки следов выполните скрипт:

Код:

begin
 DelBHO('e3a729da-eabc-df50-1842-dfd682644311');
 DelCLSID('e3a729da-eabc-df50-1842-dfd682644311');
 DelCLSID('1F460357-8A94-4D71-9CA3-AA4ACF32ED8E');
 DelCLSID('92780B25-18CC-41C8-B9BE-3C9C571A8263');
 RebootWindows(true);
 end.

**Artem84** · 19.11.2007, 10:33

Прошу Вас посмотрите еще вот эти мои файлы
ноутбук загружается при загрузке выдает сообщение xmnt 2002 programm not found -skipping AUTOCHECK
и на ноуте не работает мышка и в списке оборудования везде над каждым устройством желтое окошко с вопросом

Проблема с вирусами Backdoor атака Firewall (заявка № 14011)

Опции темы