Проблема с вирусами Backdoor атака Firewall

**Artem84** · 19.11.2007, 10:35

вот эти файлы

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 19.11.2007, 11:53

пофиксите...

Код:

O4 - HKLM\..\Run: [SysCVMS.exe] C:\WINDOWS\system32\SysCVMS.exe

выполните скрипт...

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\lich.exe','');
QuarantineFile('C:\WINDOWS\system32\SysCVMS.exe','');
DeleteFile('C:\WINDOWS\system32\SysCVMS.exe');
DeleteFile('C:\WINDOWS\system32\lich.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил...
повторите логи...

Добавлено через 56 минут

попал в карантин ...
C:\WINDOWS\system32\lich.exe Trojan-PSW.Win32.LdPinch.edj
меняйте пароли....

**Artem84** · 19.11.2007, 12:11

Сделал новые логи
Где менять пароли?

**V_Bond** · 19.11.2007, 12:16

Пуск > Выполнить; вписать sc delete lich нажать ОК
повторите лог HijackThis
пароли нужно менять все.... к сайтам кошелькам ... аське ... почте ... вобщем все...

**Artem84** · 19.11.2007, 12:27

сделал выполнить ...
Сделал новый лог HijackThis

**V_Bond** · 19.11.2007, 12:34

больше не вижу ничего зловредного в логах ...

**Artem84** · 19.11.2007, 12:37

Понял теперь наверное мне надо восстанавливать систему а то не мышь не работает ... спасибо!

**V_Bond** · 19.11.2007, 12:39

возможно у вас проблемы с драйверами мыши ... попробуйте удалить и поставить заново ...

**Artem84** · 23.01.2008, 12:00

Добрый день!
Прошу Вас посмотреть выложеннные логи т.к. заваливает иногда Firewall а касперский не определяет вирусы
файл virus не вложил потому что там пусто

**V1t0** · 23.01.2008, 12:21

Выполнить скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\a96dqy2n.SYS','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Карантин прислать согласно приложению 3 правил.
Повторить логи.

**Bratez** · 23.01.2008, 12:28

Ничего подозрительного в логах не видно.
Заплатки на Windows регулярно ставите?

Рекомендую:
1. Установить все критические обновления Windows, вышедшие после SP2.
2. Обновить антивирус до 7-й версии, а еще лучше перейти на KIS 7.0.
3. Отключить все что вам не нужно из этого списка:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

**Artem84** · 23.01.2008, 13:41

Заплатки не ставил вообще :-)
пожалуйста если можете что означают службы:1,2,3
и где отключать службы "Безопасность"
не подскажите где брать крит обновления после SP2
выполнил скрипт и файл по приложению 3

Добавлено через 18 минут

если есть ссылка где можно скачать 100% проверенные обновления пожалуйста дайте! что потом не пришлось пользоваться такимипрограма ка True Image Ghost и прочими :-)

**Bratez** · 23.01.2008, 13:47

Вот здесь отличный пакет всех необходимых заплаток
(только для русской XP SP2):
http://poleznosti.ru/soft/file_catal...20060821091454

Добавлено через 1 минуту

По сервисам информация где-то была в соответствующих разделах форума. Отключить - скрипт напишем, только скажите что нужно, что нет.

**Artem84** · 23.01.2008, 13:53

у меня комп в сети есть папки для общего доступа
есть консоль администратора для Winroute Firewall чтоб смотреть кто заваливает сервер
стоит у меня принтер для общего доступа
и все, какие конкретно службы нужны какие нет не знаю :-(

**Bratez** · 23.01.2008, 13:57

Вот вам скрипт для отключения ненужного:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

**Artem84** · 08.02.2008, 06:27

Добрый день!
Подскажите что делать с вирусом PE_Patch.Morphine заражен файл
с:\windows\system32\mdmi386.exe\PE_Patch.Morphine\ ...
не вызовет ли осложнения удаления файла mdmi386.exe?

**Bratez** · 08.02.2008, 08:18

Неплохо бы новые логи сделать, времени много прошло.

**CyberHelper** · 22.02.2009, 02:50

Статистика проведенного лечения:

Получено карантинов: 7
Обработано файлов: 22
В ходе лечения обнаружены вредоносные программы:
1. c:\\system volume information\\_restore{66b251f8-c5ce-45a0-9f65-a9cd128cc04a}\\rp1\\a0000012.dll - Trojan-Spy.Win32.Iespy.eh (DrWEB: Trojan.Iespy)
2. c:\\windows\\system32\\lich.exe - Trojan-PSW.Win32.LdPinch.edj (DrWEB: a modification of Trojan.Packed.189)
3. c:\\windows\\system32\\magent.exe - Email-Worm.Win32.Bagle.mj (DrWEB: Trojan.Spambot.248
4. c:\\windows\\system32\\mswapi.dll - Trojan-Spy.Win32.Iespy.em (DrWEB: Trojan.PWS.GoldSpy)
5. c:\\windows\\system32\\mswapi.dll - Trojan-Spy.Win32.Iespy.eh (DrWEB: Trojan.Iespy)
6. f:\\autorun.inf - Worm.Win32.AutoRun.dyj

Проблема с вирусами Backdoor атака Firewall (заявка № 14011)

Опции темы