Ip6Fw.sys, runtime.sys (Trojan.NtRootKit.497, BackDoor.Bulknet)
Avast через произвольное время после установки Интернет-соединения кричит о наличии Win32:Agent-NJB [Trj] в Ip6Fw.sys и Win32:Agent-MEB [Trj] в runtime.sys, а равно о попытках входящей передачи файлов, зараженных Win32:Agent-NGJ [Wrm], с разнообразных удаленных узлов.
Заранее спасибо!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выплоните в АВЗ
После выполнения скрипта компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\system32\sysfldr.dll',''); DeleteFile('C:\WINDOWS\system32\sysfldr.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Профиксите
Занрузите карантин согласно приложения 3 правил .Код:O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16075
Повторите логи ...
Последний раз редактировалось wise-wistful; 07.01.2008 в 20:01.
Сделано.
Выполните скрипт в AVZПовторите лог virusinfo_syscheck.zip.Код:begin DelAutorunByFileName('C:\WINDOWS\system32\vsjitdebugger.exe'); RebootWindows(true); end.
Есть.
Что из этого не нужно?Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
Как выяснилось, ничего не нужно
Вот скрипт для отключения ненужного:
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
I am not young enough to know everything...
Большое письменное спасибо
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\sysfldr.dll - Backdoor.Win32.Agent.dam (DrWEB: Trojan.DownLoader.38503)
Уважаемый(ая) Jura Gorohovsky, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
