Добрый день!
У меня опять возникли проблемы с вирусами забивают сервер и сеть вылетает,пожалуйста просмотрите высланные логи
архив virus.rar не выслал потому что не было файлов чтобы добавить
Printable View
Добрый день!
У меня опять возникли проблемы с вирусами забивают сервер и сеть вылетает,пожалуйста просмотрите высланные логи
архив virus.rar не выслал потому что не было файлов чтобы добавить
[B]Скачайте заново avz(у вас старая версия), обновите базы avz.[/B]
1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZPMStatus(true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');
QuarantineFile('C:\Program Files\int_banking\NCforbanking.bat','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
2.[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL] в HiJackThis
[CODE]
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\system32\mswapi.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
[/CODE]
3.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]
перед тем как выполнять скрипт хочу уточнить
QuarantineFile('C:\Program Files\int_banking\NCforbanking.bat','');это файл интернет банкинга для финансистов, если я выполню скрипт что с ним будет он удалится?
в карантине система может использовать этот файл?
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
O16 - DPF: PrivateWire - [url]http://apps1.centercredit.kz/jpw.cab[/url]
centercredit.kz это тоже работа с банком
что с ним будет после выполнения скрипта?
[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]
На этом компе работа идет только через Internet Explorer и все порты открыты т.к. банковские системы не разрешают ставить какие то ограничения... поэтому он можно так сказать ни чем не защищен кроме ка кстоит Касперский 7.
скриптом файлы будут просто скопированы .... так что на работе системы это не скажется ... но если вы знаете назначение этих файлов ... необходимость в скрипте отпадает ...
скачайте новую версию AVZ и повторите логи ...
[QUOTE=Artem84;160325]O16 - DPF: PrivateWire - [url]http://apps1.centercredit.kz/jpw.cab[/url]
centercredit.kz это тоже работа с банком
что с ним будет после выполнения скрипта?[/QUOTE]
Убраны из рекомендаций, примите извинения за их некорректность.
Понял Такой вопрос к Вам в субботу и воскресенье можно обращаться за помощью? т.е. высылать файлы и и получать пути решения?
в любое время дня и ночи ... ;)
да, да
Пожалуйста посмотрите вот эти логи это с др. компьютера (моего домашнего) не те что указаны выше
вирус который нашел Касперский и утилита Dr Web: BackDoor. Monsh
файлы которые повреждены shell64.dll и inter32.dll когда проверял утилитой др. веб выбрал лечить и помойму он их удалил ...
файла архива virus не выслал, потому что ничего не отобразилось там
в логах чисто ....
shell64.dll и inter32.dll - что в них лечить - это зловреды от рождения ;)
понял спасибо
Добрый день!
Я выполнил скрипт и пофиксил скрипт указаный выше и отправил файл карантина по правилу 3
1.В avz выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZPMStatus(true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');
QuarantineFile('C:\Program Files\int_banking\NCforbanking.bat','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
.....
посмотрите его пожалуйста
Доброе утро!
Пожалуйста просмотрите логи у меня троян забивает kerio
c:\windows\system32\mswapi.dll [B]Trojan.Spy.IESpy.B[/B]
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('Mspssdp.sys','');
DeleteFile('C:\WINDOWS\System32\mswapi.dll');
DelBHO('{e3a729da-eabc-df50-1842-dfd682644311}');
BC_Importall;
ExecuteSysClean;
BC_QrSvc('Mspssdp');
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
сделал новые логи и по приложению 3.
выполните скрипт ...
[code]
begin
DelBHO('{72A41C97-ED9F-B798-B77B-BBF798A3BC19}');
DeleteService('Mspssdp');
RebootWindows(true);
end.
[/code]
сделайте virusinfo_syscheck
сделал
выполните скрипт ....
[code]
begin
BC_DeleteSvc('Mspssdp');
BC_Activate;
RebootWindows(true);
end.
[/code]
больше ничего подозрительного ...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\mswapi.dll - [B]Trojan-Spy.Win32.Iespy.hu[/B] (DrWEB: Trojan.Iespy)[/LIST][/LIST]