Проблема с вирусами Backdoor атака Firewall
Printable View
Проблема с вирусами Backdoor атака Firewall
Вместо virusinfo_cure.zip должен быть [b]virusinfo_syscure.zip[/b].
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');
DeleteFile('C:\WINDOWS\system32\mswapi.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\system32\mswapi.dll
O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)
[/code]
Сделайте новые логи.
Установленный на компьютере DrWeb устарел, скачайте новую версию с сайта [url]http://download.drweb.com/win[/url] и установите.
mswapi.dll - [b]Trojan-Spy.Win32.Iespy.eh[/b] (свеженький! ;))
сделал новые логи
Пофиксьте:
[code]
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
[/code]
Проблемы остались?
А почему восстановление системы не отключали? Сделайте это сейчас для очистки контрольных точек, ваш троян и там отметился. Посмотрите, что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Проблема вроде ушла интернет не выбивает
на счет контрольных точек отключить восстановление системы и заново пройти avz и hijackthis?
на счет служб, честно сказать не знаю какие нужны, комп в локальной сети
1. Отключите Восстановление системы.
2. Выполните скрипт в AVZ:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
ExecuteRepair(17);
RebootWindows(true);
end.[/code]
3. Повторите логи, начиная с п.10 правил.
Сделал новые с пункта 10
Когда теперь можно включить восстановление системы?
Интересно у меня такой же вирус одновременно поймал и главбух а после того как убрал у менеджера интернет перестал вылетать хоть и главбух сидит в интернете! я его наверное тоже проверю ...
в логах чисто ...
восстановление можно включить ...
Здравствуйте! Сделал новые логи главбуха посмотрите их, пожалуйста
пофиксите...
[code]
O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)
[/code]
выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');
QuarantineFile('C:\WINDOWS\system32\magent.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
Пофиксил, выполнил скрипт, отправил файл карантина
c:\windows\system32\mswapi.dll
[code]
AhnLab-V3 2007.11.13.0 2007.11.13 -
AntiVir 7.6.0.34 2007.11.13 -
Authentium 4.93.8 2007.11.13 [B]Possibly a new variant of W32/Threat-HLLSI-based!Maximus[/B]
Avast 4.7.1074.0 2007.11.12 [B]Win32:Iespy-H[/B]
AVG 7.5.0.503 2007.11.12 -
BitDefender 7.2 2007.11.13 -
CAT-QuickHeal 9.00 2007.11.12 -
ClamAV 0.91.2 2007.11.13 -
DrWeb 4.44.0.09170 2007.11.12 -
eSafe 7.0.15.0 2007.11.08 [B]suspicious Trojan/Worm[/B]
eTrust-Vet 31.2.5291 2007.11.13 [B]Win32/Ramerl!generic[/B]
Ewido 4.0 2007.11.12 -
FileAdvisor 1 2007.11.13 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.13 [B]W32/Threat-HLLSI-based!Maximus[/B]
F-Secure 6.70.13030.0 2007.11.13 [B]W32/Horst.gen33[/B]
Ikarus T3.1.1.12 2007.11.13 [B]Virus.Win32.Iespy.H[/B]
Kaspersky 7.0.0.125 2007.11.13 -
McAfee 5161 2007.11.12 [B]Downloader-ASL[/B]
Microsoft 1.3007 2007.11.12 [B]TrojanSpy:Win32/Lespy.gen[/B]
NOD32v2 2654 2007.11.13 [B]a variant of Win32/Spy.Iespy[/B]
Norman 5.80.02 2007.11.12 [B]W32/Horst.gen33[/B]
Panda 9.0.0.4 2007.11.13 -
Prevx1 V2 2007.11.13 -
Rising 20.18.02.00 2007.11.12 -
Sophos 4.23.0 2007.11.13 -
Sunbelt 2.2.907.0 2007.11.13 -
Symantec 10 2007.11.13 -
TheHacker 6.2.9.124 2007.11.13 -
VBA32 3.12.2.4 2007.11.11 -
VirusBuster 4.3.26:9 2007.11.12 [B]Trojan.IESPy.Gen[/B]
Webwasher-Gateway 6.0.1 2007.11.13 [B]Trojan.Downloader.Win32.Malware.gen (suspicious)[/B]
[/code]
C:\WINDOWS\system32\magent.exe
[code]
AhnLab-V3 2007.11.13.0 2007.11.13 -
AntiVir 7.6.0.34 2007.11.13 [B]TR/Crypt.Morphine.Gen[/B]
Authentium 4.93.8 2007.11.13 -
Avast 4.7.1074.0 2007.11.12 [B]Win32:Beagle-HU[/B]
AVG 7.5.0.503 2007.11.12 -
BitDefender 7.2 2007.11.13 [B]Packer.Morphine.B[/B]
CAT-QuickHeal 9.00 2007.11.12 [B](Suspicious) - DNAScan[/B]
ClamAV 0.91.2 2007.11.13 [B]Trojan.Packed-86[/B]
DrWeb 4.44.0.09170 2007.11.12 [B]Trojan.Spambot.2488[/B]
eSafe 7.0.15.0 2007.11.08 [B]Suspicious File[/B]
eTrust-Vet 31.2.5291 2007.11.13 -
Ewido 4.0 2007.11.12 -
FileAdvisor 1 2007.11.13 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.13 [B]W32/Heuristic-162!Eldorado[/B]
F-Secure 6.70.13030.0 2007.11.13 -
Ikarus T3.1.1.12 2007.11.13 [B]Trojan-Dropper.Win32.Calimocho[/B]
Kaspersky 7.0.0.125 2007.11.13 [B]Heur.Backdoor.Generic[/B]
McAfee 5161 2007.11.12 [B]New Malware.bl[/B]
Microsoft 1.3007 2007.11.12 [B]VirTool:Win32/Obfuscator.E[/B]
NOD32v2 2654 2007.11.13 [B]a variant of Win32/Bagle[/B]
Norman 5.80.02 2007.11.12 -
Panda 9.0.0.4 2007.11.13 [B]Suspicious file[/B]
Prevx1 V2 2007.11.13 -
Rising 20.18.02.00 2007.11.12 -
Sophos 4.23.0 2007.11.13 [B]Mal/EncPk-AM[/B]
Sunbelt 2.2.907.0 2007.11.13 -
Symantec 10 2007.11.13 [B]W32.Monikey@mm[/B]
TheHacker 6.2.9.124 2007.11.13 -
VBA32 3.12.2.4 2007.11.11 [B]MalwareScope.Trojan-PSW.Pinch.1[/B]
VirusBuster 4.3.26:9 2007.11.12 [B]Packed/Morphine.B[/B]
Webwasher-Gateway 6.0.1 2007.11.13 [B]Trojan.Crypt.Morphine.Gen[/B]
[/code]
выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('c:\windows\system32\magent.exe');
DeleteFile('C:\WINDOWS\system32\mswapi.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи...
c:\windows\system32\mswapi.dll
Код:
Microsoft 1.3007 2007.11.12 TrojanSpy:Win32/Lespy.gen
C:\WINDOWS\system32\magent.exe
Код:
BitDefender 7.2 2007.11.13 Packer.Morphine.B
Это надо пофиксить? или как?
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
V_Bond перед сстрокой "выполните скрипт..." текст с приведенным кодом списка вирусов мне просто для ознакомления т.е. только выполнять скрипт?
[QUOTE]V_Bond перед сстрокой "выполните скрипт..." текст с приведенным кодом списка вирусов мне просто для ознакомления т.е. только выполнять скрипт?[/QUOTE]Да, Вы все правильно поняли.
Все сделал заново
Все в порядке. Для зачистки следов выполните скрипт:
[code]
begin
DelBHO('e3a729da-eabc-df50-1842-dfd682644311');
DelCLSID('e3a729da-eabc-df50-1842-dfd682644311');
DelCLSID('1F460357-8A94-4D71-9CA3-AA4ACF32ED8E');
DelCLSID('92780B25-18CC-41C8-B9BE-3C9C571A8263');
RebootWindows(true);
end.[/code]
Прошу Вас посмотрите еще вот эти мои файлы
ноутбук загружается при загрузке выдает сообщение xmnt 2002 programm not found -skipping AUTOCHECK
и на ноуте не работает мышка и в списке оборудования везде над каждым устройством желтое окошко с вопросом