АТАКА ТРОЯНОВ

[zmirno]

Во время работы в интернете, появились предупреждения NOD32 о заражении троянами. Зараженные файлы удалял и отправлял в карантин. Это логи NOD:

C:\Documents and Settings\Gorbunov\Local Settings\Temporary Internet Files\Content.IE5\N2GFBLCT\25319[1] вероятномодифицированный Win32/TrojanDropper.Agent.AKO троян

C:\WINDOWS\system32\KB00016252.exe вероятно модифицированный Win32/TrojanDropper.Agent.AKO троян

C:\Documents and Settings\Gorbunov\Local Settings\Temporary Internet Files\Content.IE5\TVVFLP8E\packed_installer_cna1[1] Win32/TrojanProxy.Wopla.NAC троян

хххp://81.29.241.56/25319.exe?3833669342775745 вероятно модифицированный Win32/TrojanDropper.Agent.AKO троян

хххp://81.95.149.51/ms21/packed_installer_cna1.exe?5421677000178364 Win32/TrojanProxy.Wopla.NAC троян

и много-много других

Удалил временные файлы интернета. Сделал глубокий анализ NOD, но окна с предупреждениями продолжают выскакивать безостановочно. На рабочем столе появился файл ~WRL1197.tmp, который не удаляется. Во время сканирования AVZ компьютер перезагружался, пришлось сканировать в безопасном режиме.

Можно ли с этим справиться? Посмотрите, пожалуйста, логи.

[AndreyKa]

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\Drivers\Wtmv62.sys','');
 QuarantineFile('C:\WINDOWS\system32\KB_963491.exe','');
 DeleteFile('C:\WINDOWS\system32\KB_963491.exe');
 BC_DeleteFile('C:\WINDOWS\system32\KB_963491.exe');
 DeleteFile('C:\WINDOWS\system32\KB16770001.exe');
 DeleteFile('C:\WINDOWS\system32\KB77000178.exe');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
 end.

Компьютер перезагрузится.
Пришлите то, что попадет в карантин так, как написано в приложении 3 Правил.
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к вашей теме.

[zmirno]

Скрипт выполнил, карантин выслал по правилам. Предупреждений от NOD пока прекратились. Высылаю новые логи. И жду инструкций. Спасибо.

[zmirno]

Что в логах? Нужно что-то предпринимать?

[V_Bond]

не вижу ничего подозрительного ....
из этого что-то нужно ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

[zmirno]

Я с трудом понимаю, о чем идет речь :-)). Поэтому, наверное, это все не нужно. Разве только автозапуск программ с CDROM.

[V_Bond]

выполните скрипт ...

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.

не болейте ....

[zmirno]

СПАСИБО. Спасате меня в третий раз. Нашел сообщение "Для всех желающих нам помочь", собрал неопознанные и подозрительные файлы и выслал архив своего карантина.

Файл сохранён как 070905_140043_virusinfo_files_GORBUNOV-9D93DA_46defcdbc33f6.zip
Размер файла 717713
MD5 722b505c8a08e2c411cf979d0bec8a60

Надеюсь, это будет полезным в вашей работе. Удачи.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\kb_963491.exe - Trojan-Downloader.Win32.Delf.bxu (DrWEB: Trojan.DownLoader.32223)