Проблема с вирусами Backdoor атака Firewall

Проблема с вирусами Backdoor атака Firewall

Вместо virusinfo_cure.zip должен быть [b]virusinfo_syscure.zip[/b].

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');
DeleteFile('C:\WINDOWS\system32\mswapi.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\system32\mswapi.dll
O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)
[/code]
Сделайте новые логи.

Установленный на компьютере DrWeb устарел, скачайте новую версию с сайта [url]http://download.drweb.com/win[/url] и установите.

mswapi.dll - [b]Trojan-Spy.Win32.Iespy.eh[/b] (свеженький! ;))

сделал новые логи

Пофиксьте:
[code]
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
[/code]
Проблемы остались?

А почему восстановление системы не отключали? Сделайте это сейчас для очистки контрольных точек, ваш троян и там отметился. Посмотрите, что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]

Проблема вроде ушла интернет не выбивает
на счет контрольных точек отключить восстановление системы и заново пройти avz и hijackthis?
на счет служб, честно сказать не знаю какие нужны, комп в локальной сети

1. Отключите Восстановление системы.
2. Выполните скрипт в AVZ:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
ExecuteRepair(17);
RebootWindows(true);
end.[/code]
3. Повторите логи, начиная с п.10 правил.

Сделал новые с пункта 10
Когда теперь можно включить восстановление системы?
Интересно у меня такой же вирус одновременно поймал и главбух а после того как убрал у менеджера интернет перестал вылетать хоть и главбух сидит в интернете! я его наверное тоже проверю ...

в логах чисто ...
восстановление можно включить ...

Здравствуйте! Сделал новые логи главбуха посмотрите их, пожалуйста

пофиксите...
[code]
O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)
[/code]
выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');
QuarantineFile('C:\WINDOWS\system32\magent.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...

Пофиксил, выполнил скрипт, отправил файл карантина

c:\windows\system32\mswapi.dll
[code]
AhnLab-V3 2007.11.13.0 2007.11.13 -
AntiVir 7.6.0.34 2007.11.13 -
Authentium 4.93.8 2007.11.13 [B]Possibly a new variant of W32/Threat-HLLSI-based!Maximus[/B]
Avast 4.7.1074.0 2007.11.12 [B]Win32:Iespy-H[/B]
AVG 7.5.0.503 2007.11.12 -
BitDefender 7.2 2007.11.13 -
CAT-QuickHeal 9.00 2007.11.12 -
ClamAV 0.91.2 2007.11.13 -
DrWeb 4.44.0.09170 2007.11.12 -
eSafe 7.0.15.0 2007.11.08 [B]suspicious Trojan/Worm[/B]
eTrust-Vet 31.2.5291 2007.11.13 [B]Win32/Ramerl!generic[/B]
Ewido 4.0 2007.11.12 -
FileAdvisor 1 2007.11.13 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.13 [B]W32/Threat-HLLSI-based!Maximus[/B]
F-Secure 6.70.13030.0 2007.11.13 [B]W32/Horst.gen33[/B]
Ikarus T3.1.1.12 2007.11.13 [B]Virus.Win32.Iespy.H[/B]
Kaspersky 7.0.0.125 2007.11.13 -
McAfee 5161 2007.11.12 [B]Downloader-ASL[/B]
Microsoft 1.3007 2007.11.12 [B]TrojanSpy:Win32/Lespy.gen[/B]
NOD32v2 2654 2007.11.13 [B]a variant of Win32/Spy.Iespy[/B]
Norman 5.80.02 2007.11.12 [B]W32/Horst.gen33[/B]
Panda 9.0.0.4 2007.11.13 -
Prevx1 V2 2007.11.13 -
Rising 20.18.02.00 2007.11.12 -
Sophos 4.23.0 2007.11.13 -
Sunbelt 2.2.907.0 2007.11.13 -
Symantec 10 2007.11.13 -
TheHacker 6.2.9.124 2007.11.13 -
VBA32 3.12.2.4 2007.11.11 -
VirusBuster 4.3.26:9 2007.11.12 [B]Trojan.IESPy.Gen[/B]
Webwasher-Gateway 6.0.1 2007.11.13 [B]Trojan.Downloader.Win32.Malware.gen (suspicious)[/B]
[/code]
C:\WINDOWS\system32\magent.exe
[code]
AhnLab-V3 2007.11.13.0 2007.11.13 -
AntiVir 7.6.0.34 2007.11.13 [B]TR/Crypt.Morphine.Gen[/B]
Authentium 4.93.8 2007.11.13 -
Avast 4.7.1074.0 2007.11.12 [B]Win32:Beagle-HU[/B]
AVG 7.5.0.503 2007.11.12 -
BitDefender 7.2 2007.11.13 [B]Packer.Morphine.B[/B]
CAT-QuickHeal 9.00 2007.11.12 [B](Suspicious) - DNAScan[/B]
ClamAV 0.91.2 2007.11.13 [B]Trojan.Packed-86[/B]
DrWeb 4.44.0.09170 2007.11.12 [B]Trojan.Spambot.2488[/B]
eSafe 7.0.15.0 2007.11.08 [B]Suspicious File[/B]
eTrust-Vet 31.2.5291 2007.11.13 -
Ewido 4.0 2007.11.12 -
FileAdvisor 1 2007.11.13 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.13 [B]W32/Heuristic-162!Eldorado[/B]
F-Secure 6.70.13030.0 2007.11.13 -
Ikarus T3.1.1.12 2007.11.13 [B]Trojan-Dropper.Win32.Calimocho[/B]
Kaspersky 7.0.0.125 2007.11.13 [B]Heur.Backdoor.Generic[/B]
McAfee 5161 2007.11.12 [B]New Malware.bl[/B]
Microsoft 1.3007 2007.11.12 [B]VirTool:Win32/Obfuscator.E[/B]
NOD32v2 2654 2007.11.13 [B]a variant of Win32/Bagle[/B]
Norman 5.80.02 2007.11.12 -
Panda 9.0.0.4 2007.11.13 [B]Suspicious file[/B]
Prevx1 V2 2007.11.13 -
Rising 20.18.02.00 2007.11.12 -
Sophos 4.23.0 2007.11.13 [B]Mal/EncPk-AM[/B]
Sunbelt 2.2.907.0 2007.11.13 -
Symantec 10 2007.11.13 [B]W32.Monikey@mm[/B]
TheHacker 6.2.9.124 2007.11.13 -
VBA32 3.12.2.4 2007.11.11 [B]MalwareScope.Trojan-PSW.Pinch.1[/B]
VirusBuster 4.3.26:9 2007.11.12 [B]Packed/Morphine.B[/B]
Webwasher-Gateway 6.0.1 2007.11.13 [B]Trojan.Crypt.Morphine.Gen[/B]
[/code]
выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('c:\windows\system32\magent.exe');
DeleteFile('C:\WINDOWS\system32\mswapi.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи...

c:\windows\system32\mswapi.dll
Код:
Microsoft 1.3007 2007.11.12 TrojanSpy:Win32/Lespy.gen

C:\WINDOWS\system32\magent.exe
Код:
BitDefender 7.2 2007.11.13 Packer.Morphine.B

Это надо пофиксить? или как?

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

V_Bond перед сстрокой "выполните скрипт..." текст с приведенным кодом списка вирусов мне просто для ознакомления т.е. только выполнять скрипт?

[QUOTE]V_Bond перед сстрокой "выполните скрипт..." текст с приведенным кодом списка вирусов мне просто для ознакомления т.е. только выполнять скрипт?[/QUOTE]Да, Вы все правильно поняли.

Все сделал заново

Все в порядке. Для зачистки следов выполните скрипт:
[code]
begin
DelBHO('e3a729da-eabc-df50-1842-dfd682644311');
DelCLSID('e3a729da-eabc-df50-1842-dfd682644311');
DelCLSID('1F460357-8A94-4D71-9CA3-AA4ACF32ED8E');
DelCLSID('92780B25-18CC-41C8-B9BE-3C9C571A8263');
RebootWindows(true);
end.[/code]

Прошу Вас посмотрите еще вот эти мои файлы
ноутбук загружается при загрузке выдает сообщение xmnt 2002 programm not found -skipping AUTOCHECK
и на ноуте не работает мышка и в списке оборудования везде над каждым устройством желтое окошко с вопросом

вот эти файлы

пофиксите...
[code]
O4 - HKLM\..\Run: [SysCVMS.exe] C:\WINDOWS\system32\SysCVMS.exe
[/code]
выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\lich.exe','');
QuarantineFile('C:\WINDOWS\system32\SysCVMS.exe','');
DeleteFile('C:\WINDOWS\system32\SysCVMS.exe');
DeleteFile('C:\WINDOWS\system32\lich.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
повторите логи...

[size="1"][color="#666686"][B][I]Добавлено через 56 минут[/I][/B][/color][/size]

попал в карантин ...
C:\WINDOWS\system32\lich.exe [B]Trojan-PSW.Win32.LdPinch.edj[/B]
меняйте пароли....

Сделал новые логи
Где менять пароли?

Пуск > Выполнить; вписать sc delete lich нажать ОК
повторите лог HijackThis
пароли нужно менять все.... к сайтам кошелькам ... аське ... почте ... вобщем все...

сделал выполнить ...
Сделал новый лог HijackThis

больше не вижу ничего зловредного в логах ...

Понял теперь наверное мне надо восстанавливать систему а то не мышь не работает ... спасибо!

возможно у вас проблемы с драйверами мыши ... попробуйте удалить и поставить заново ...

Добрый день!
Прошу Вас посмотреть выложеннные логи т.к. заваливает иногда Firewall а касперский не определяет вирусы
файл virus не вложил потому что там пусто

[LIST=1][*]Выполнить скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\a96dqy2n.SYS','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]Компьютер перезагрузится.[*]Карантин прислать согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL].[*]Повторить логи.[/LIST]

Ничего подозрительного в логах не видно.
Заплатки на Windows регулярно ставите?

Рекомендую:
1. Установить все критические обновления Windows, вышедшие после SP2.
2. Обновить антивирус до 7-й версии, а еще лучше перейти на KIS 7.0.
3. Отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]

Заплатки не ставил вообще :-)
пожалуйста если можете что означают службы:1,2,3
и где отключать службы "Безопасность"
не подскажите где брать крит обновления после SP2
выполнил скрипт и файл по приложению 3

[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]

если есть ссылка где можно скачать 100% проверенные обновления пожалуйста дайте! что потом не пришлось пользоваться такимипрограма ка True Image Ghost и прочими :-)

Вот здесь отличный пакет всех необходимых заплаток
(только для русской XP SP2):
[url]http://poleznosti.ru/soft/file_catalog/?file_id=20060821091454[/url]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

По сервисам информация где-то была в соответствующих разделах форума. Отключить - скрипт напишем, только скажите что нужно, что нет.

у меня комп в сети есть папки для общего доступа
есть консоль администратора для Winroute Firewall чтоб смотреть кто заваливает сервер
стоит у меня принтер для общего доступа
и все, какие конкретно службы нужны какие нет не знаю :-(

Вот вам скрипт для отключения ненужного:
[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]

Добрый день!
Подскажите что делать с вирусом PE_Patch.Morphine заражен файл
с:\windows\system32\mdmi386.exe\PE_Patch.Morphine\...
не вызовет ли осложнения удаления файла mdmi386.exe?

Неплохо бы новые логи сделать, времени много прошло.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]7[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\system volume information\\_restore{66b251f8-c5ce-45a0-9f65-a9cd128cc04a}\\rp1\\a0000012.dll - [B]Trojan-Spy.Win32.Iespy.eh[/B] (DrWEB: Trojan.Iespy)[*] c:\\windows\\system32\\lich.exe - [B]Trojan-PSW.Win32.LdPinch.edj[/B] (DrWEB: a modification of Trojan.Packed.189)[*] c:\\windows\\system32\\magent.exe - [B]Email-Worm.Win32.Bagle.mj[/B] (DrWEB: Trojan.Spambot.2488)[*] c:\\windows\\system32\\mswapi.dll - [B]Trojan-Spy.Win32.Iespy.em[/B] (DrWEB: Trojan.PWS.GoldSpy)[*] c:\\windows\\system32\\mswapi.dll - [B]Trojan-Spy.Win32.Iespy.eh[/B] (DrWEB: Trojan.Iespy)[*] f:\\autorun.inf - [B]Worm.Win32.AutoRun.dyj[/B][/LIST][/LIST]