Поймала на двух компьютерах (один из них - шлюз во внешний мир) троянцев. NOD'ом идентифицируются как
Agent.OH
TrojanDownloader.Small.EQN
Nuwar.Gen.
Похоже, что NOD находит только последствия - вредные процессы и файлы, но кто их порождает - выловить не могу. Делала все, что написано в указаниях по лечению этих троянцев, какие нашла в инете, но безуспешно. Помогите пожалуйста, люди добрые. Да, во время исполнения скрипта, формирующего virusinfo_syscure.zip, вспомнила, что не запустила браузер. Отключила исполнение скрипта, включила браузер, запустила скрипт на исполнение. В логе пропали строки об излечивании C:\Windows\system32\svchost.exe и о маскировке исполняемого файла им же. Не знаю, насколько эта информация полезна.
Наталия
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\vedxga3me2.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
5. Сообщите, используете ли вы что-то из нижеуказанного:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Добавлено через 52 минуты
Забыл добавить: два антивируса сразу использовать настоятельно не рекомендуется. Во избежание тормозов и глюков один из них надо убрать (Imho, Аваст - самое слабое звено!(с) )
Последний раз редактировалось Bratez; 03.09.2007 в 10:45.
Причина: Добавлено
5. Сообщите, используете ли вы что-то из нижеуказанного:
Код:
>> Нет Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Нет Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Нет Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Нет Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Да Безопасность: разрешен автозапуск программ с CDROM
>> Нет Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Да Безопасность: к ПК разрешен доступ анонимного пользователя
>> Нет Безопасность: Разрешена отправка приглашений удаленному помошнику
Сообщение от Bratez
Забыл добавить: два антивируса сразу использовать настоятельно не рекомендуется. Во избежание тормозов и глюков один из них надо убрать (Imho, Аваст - самое слабое звено!(с) )
Ура! Спасибо большое! (Пляшет джигу)
NOD32 у меня почему-то вообще троянцев плохо видит. Базы в частности на этой машине обновляются каждый день через инет, на отлученных от инета - раз в неделю. Может, в компанию к NOD'у надо специализированную трояноловилку ставить, чтоб на взлете их пристреливал?
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Можете так же установить фаервол,подробнее о них можно узнать тут http://virusinfo.info/forumdisplay.php?f=40
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: