BackDoor.Generic.1138 and Explorasi

[Solid]

Недавно начали беспокоить вирусы - DR.WEb всегда находит 6 инфицированных файлов, вроде все они заражены BackDoor.Generic.1138 (smss.exe services.exe и т.д). Я делал полную проверку Dr.Web'oм он удалял их, но потом комп перезагружался. Но вродебы вестей от explorasi уже не было 2 дня.Инет начал тормозить, страницы не открывает иногда, но сетевые игры или ася работают безотказно. Комп время от времени начал сильно виснуть.
Заранее благодарен за помощь!

[Muzzle]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('E:\Documents and Settings\Юсупов\Шаблоны\Brengkolang.com','');
 QuarantineFile('System32\Drivers\DgiVecp.sys','');
 QuarantineFile('E:\WINDOWS\ShellNew\sempalong.exe','');
 QuarantineFile('E:\WINDOWS\eksplorasi.exe','');
 QuarantineFile('E:\Documents and Settings\Юсупов\Local Settings\Application Data\smss.exe','');
 DeleteFile('E:\Documents and Settings\Юсупов\Local Settings\Application Data\smss.exe');
 DeleteFile('E:\WINDOWS\eksplorasi.exe');
 DeleteFile('E:\WINDOWS\ShellNew\sempalong.exe');
 ClearHostsFile;
 ExecuteRepair(6);
 ExecuteRepair(11);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12271

что из этого вам нужно?остальное поправим

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

[Bratez]

Сразу после скрипта от Muzzle выполните еще этот:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('E:\Documents and Settings\Юсупов\Шаблоны\Brengkolang.com');
 BC_DeleteFile('E:\Documents and Settings\Юсупов\Шаблоны\Brengkolang.com');
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

и удалите задание в Планировщике.

[Solid]

все! большое спасибо, вирусов ьольше нет!!!

[Bratez]

Сделайте логи для контроля.
И потенциальные уязвимости не стоит игнорировать (см. выше).

[Solid]

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
эти службы мне скорее всего не нужны. Есть дома неработающая локальная сеть (2 компа)

[Muzzle]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://ftp.bashtel.ru/

В логах всё чисто.
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 15
• В ходе лечения обнаружены вредоносные программы:
  
  1. e:\\documents and settings\\юсупов\\local settings\\application data\\smss.exe - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5)
  2. e:\\documents and settings\\юсупов\\шаблоны\\brengkolang.com - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5)
  3. e:\\windows\\eksplorasi.exe - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5)
  4. e:\\windows\\shellnew\\sempalong.exe - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5)