Показано с 1 по 7 из 7.

Symantec обнаружил Downloader system32\cssrss.exe и Hacktool.Rootkit system32\ ybikeI.syz (заявка № 16493)

  1. #1
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    3
    Вес репутации
    60

    Exclamation Symantec обнаружил Downloader system32\cssrss.exe и Hacktool.Rootkit system32\ ybikeI.syz

    Здравствуйте! На компьютере поселился троян! Симантек выдаёт сообщение: (см. рис 1)
    Мой вирус1: Downloader
    \WINDOWS\system32\cssrss.exe
    Мой вирус2: Hacktool.Rootkit
    C:\WINDOWS\system32\
    Выполнил проверку своего компьютера согласно «правил».
    Сейчас Симантек молчит. Но мне интересно, что за болячка была в первопричине и все ли теперь благополучно?
    И еще, да простит меня модератор, но может посоветуете ,собственно только день как подключил ком к ADSL модему и в Интернет вышел, - посоветуйте файрвол.
    Сейчас стоит следущее ПО для безопасности и поиска:
    • Symantec AntiVirus™ Corporate Edition
    • Ad-Aware SE Personal
    • Windows-KB890830-V1.36.exe
    • avz4
    • cureit.exe
    • HijackThis.exe
    Всем этим просканировал.
    Как обезопасить себя грамотно?
    Изображения Изображения
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Program Files\Aura\aura.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\LVPr2Mon.sys','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = 
    O4 - Startup: -
    O4 - Global Startup: -
    Загрузите карантин согласно приложению №3 правил.

    Что из этого нужно?
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Добавлено через 4 минуты

    Что касается профилактики - Symantec не самый лучший антиврус. Посмотрите сами http://virusinfo.info/showpost.php?p...&postcount=130
    Ad-Aware - бесполезная софтина. Можно удалить.

    AVZ, Курит, HJT это всё для диагностики и лечения, но не для защиты. Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
    Последний раз редактировалось Макcим; 16.01.2008 в 12:29. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    3
    Вес репутации
    60
    цитата: "Что из этого нужно?
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)>> Безопасность: разрешен автозапуск программ с CDROM>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)>> Безопасность: к ПК разрешен доступ анонимного пользователя>> Безопасность: Разрешена отправка приглашений удаленному помошнику
    "
    На первый взгляд – ничего не нужно. Как запретить?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    end.

  6. #5
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    3
    Вес репутации
    60
    Maxim, что за болячка была в первопричине и все ли теперь благополучно? Книгу читаю.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Подождем ответа из вир. лаба. Как только придет - сообщим. Сейчас трудно сказать что было в первоисточнике, у Symantec нет точной классификации.

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) shushurik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. symantec не лечит hacktool.rootkit
      От DeadMachine в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 07.04.2009, 17:55
    2. Достал Hacktool.Rootkit (Symantec)
      От Vaker в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.04.2009, 13:21
    3. Hacktool.Rootkit (Symantec)
      От terminator2 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 04:14
    4. symantec видит hacktool.rootkit, но не лечит
      От tory в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.01.2008, 09:41
    5. Hacktool.Rootkit и Symantec
      От Max_Damage в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 06.11.2007, 17:10

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01108 seconds with 18 queries