Eset smart security обнаруживает атаки

**AsH_SPb** · 23.08.2010, 10:36

Nod обнаруживает троянские программы 23.08.2010 4:30:11 Защита в режиме реального времени файл C:\WINDOWS\system32\drivers\usbser.sys Win32/Bubnix.AU троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло во вновь созданном файле. С определённой периодичностью при загрузке компьютера Нод выдаёт то 29 то 79 файлов. Полная проверка ничего не даёт. В обычном режиме cureit что-то находила. В безопасном сегодня проверял AVPtool

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 23.08.2010, 10:38

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('C:\thumbs.db','');
 QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
 QuarantineFile('C:\WINDOWS\system32\sidebar32.exe','');
 QuarantineFile('C:\WINDOWS\system32\faa49b41.exe','');
 QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('C:\Documents and Settings\владелец\Application Data\Microsoft\svchost.exe','');
 DeleteFile('C:\Documents and Settings\владелец\Application Data\Microsoft\svchost.exe');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
 DeleteFile('C:\WINDOWS\system32\faa49b41.exe');
 DeleteFile('C:\WINDOWS\system32\sidebar32.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star');
 DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
 DeleteFile('C:\thumbs.db');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

**AsH_SPb** · 23.08.2010, 12:29

Ready

**polword** · 23.08.2010, 12:47

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
 QuarantineFile('%windir%\system32\sfcfiles.dll','');
 QuarantineFile('%windir%\system32\mssfc.dll','');
 DeleteFile('%windir%\system32\drivers\sfc.sys');
 DeleteFile('%windir%\system32\mssfc.dll');
 RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
 if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
   begin
    if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
      begin
       CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
       AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
       SaveLog('sfcfiles.log');
      end
     else
      begin
       AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
       SaveLog('sfcfiles.log');
       if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
         begin
          if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
            begin
             CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
             AddToLog('Замена sfcfiles.dll успешно произведена из i386');
             SaveLog('sfcfiles.log');
            end
           else 
            begin
             AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
             SaveLog('sfcfiles.log');
            end;
         end
        else
         begin
          AddToLog('Файл sfcfiles.dll отсутствует в i386');
          SaveLog('sfcfiles.log');
         end;
      end;
   end
  else
   begin
    AddToLog('Файл sfcfiles.dll отсутствует в кеше');
    SaveLog('sfcfiles.log');
    if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
      begin
       if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
         begin
          CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
          AddToLog('Замена sfcfiles.dll успешно произведена из i386');
          SaveLog('sfcfiles.log');
         end
       else 
        begin
          AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
          SaveLog('sfcfiles.log');
        end;
      end
     else
      begin
       AddToLog('Файл sfcfiles.dll отсутствует в i386');
       SaveLog('sfcfiles.log');
      end;  
   end;
 DeleteFile('%windir%\system32\sfcfiles.bak');
 BC_ImportALL;
 ExecuteSysClean;
 BC_DeleteFile('%windir%\System32\sfcfiles.bak');
 BC_DeleteSvc('sfc');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог RSIT
- файл sfcfiles.log прикрепите к сообщению

**AsH_SPb** · 23.08.2010, 13:12

Во время выполнения скрипта вылетела ошибка explorer'a. Компьютер перезагрузился.

Не понял про sfcfiles, но видимо тот что в авз папке..

**polword** · 23.08.2010, 13:35

В логах подозрительного нет.

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.

**AsH_SPb** · 23.08.2010, 13:42

Копировать начиная с
var
ICounter : Integer; ?

**polword** · 23.08.2010, 13:48

можете с самого начала, можете с var

**AsH_SPb** · 23.08.2010, 14:12

Одна была, с флэш плеером

Если не трудно в двух словах описать, что за бяка сидела?

**polword** · 23.08.2010, 14:18

новый зловред - Backdoor.Win32.Shiz.ue

**AsH_SPb** · 23.08.2010, 14:27

Спасибо огромнейшее! =)

**CyberHelper** · 24.08.2010, 14:27

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 22
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\faa49b41.exe - Backdoor.Win32.Shiz.ue ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.439068, AVAST4: Win32:MalOb-DS [Cryp] )

Eset smart security обнаруживает атаки (заявка № 86085)

Опции темы

Eset smart security обнаруживает атаки

Итог лечения

Похожие темы

ESET Smart Security 5

Не работает Eset Smart Security 4.

ESET Smart Security 4.2 и ESET NOD32 Antivirus 4.2: новые версии популярных антивирусных продуктов

Проблема с ESET Smart Security

eset smart security 3.0.621

Ваши права в разделе