Письма с этого компа стали резатся spam фильтрами. Поверил. Нашел троян доунлоадер. Логи прилагаются.
Письма с этого компа стали резатся spam фильтрами. Поверил. Нашел троян доунлоадер. Логи прилагаются.
1.В avz выполнить скрипт:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('%WinDir%\Temp\startdrv.exe',''); QuarantineFile('%Windir%\system32\drivers\runtime.sys',''); QuarantineFile('%Windir%\system32\drivers\runtime2.sys',''); QuarantineFile('%Windir%\system32\drivers\ip6fw.sys',''); DeleteFile('%Windir%\Temp\startdrv.exe'); DeleteFile('%Windir%\system32\drivers\runtime2.sys'); DeleteFile('%Windir%\system32\drivers\runtime.sys'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2.Выслать карантин согласно приложению 3 правил
3.Повторить логи.
карантин выслал, там оказалось только %Windir%\system32\drivers\ip6fw.sys
Логи сейчас повторю.
логи. страно что ip6fw.sys опять вылез. я забыл отключить монитор нода и он выкнул предупреждение и прибил этот файл.
1.В avz выполнить скрипт:
Компьютер перезагрузится.Код:begin DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось zerocorporated; 08.11.2007 в 10:54.
новые логи. Отключил монитор nod32. Что то нашлось в System Restore... отправилось в карантин. Потом систем ресторе пояистил руками
Для чистки отключите восстановление системы, перезагрузитесь и включите(если нужно)
В логах не видно ничего вредоносного.
Но с этим нужно разобраться:
Что из этого нужно ?Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
спасибо. как то я проглядел это дело. вот не найду где
>> Безопасность: к ПК разрешен доступ анонимного пользователя
учетка Гость отключена.
Этот скрипт все ненужное отключит(Если есть локальная сеть то первую строчку после begin уберите)
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); end.
zerocorporated
Спасибо. Я уже ручками поотключал.
Рекомендуется прочитать книгу "Универсальная защита для Windows ME – Vista" и вы можете оказать нам помощь в пополнение базы безопасных файлов.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\ip6fw.sys - Trojan-Downloader.Win32.Agent.acl (DrWEB: Trojan.NtRootKit.319)
Уважаемый(ая) JohnDoe, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.