-
Junior Member
- Вес репутации
- 60
Нахапал вирусов на всю сеть
После перезагрузки и проверки CureIt в папке temp файлы win%random%.exe заражены одновременно trojan.downloader.44920 и win32.sector.4
в папке sytem32 файлы %random%.exe около 1000 штук заражены trojan.spambot.2831 либо trojan.spambot.origin
в папке sytem32 файлы *.dll либо dl_ 4 штуки заражены win32.sector.4
Последний раз редактировалось MikelPa; 28.01.2008 в 18:15.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('MCIDRV_2600_6_0.sys','');
QuarantineFile('D:\DOCUME~1\9335~1\LOCALS~1\Temp\2s58bM7o.sys','');
QuarantineFile('E:\260108n\setup.exe','');
QuarantineFile('E:\260108n\dwebllio.dll','');
QuarantineFile('d:\docume~1\julka\locals~1\temp\wincvukmg.exe','');
QuarantineFile('e:\260108n\setup.exe','');
QuarantineFile('e:\260108n\_start.exe','');
BC_QrSvc('MCIDRV_2600_6_0');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 60
странно
QuarantineFile('E:\260108n\setup.exe','');
QuarantineFile('E:\260108n\dwebllio.dll','');
это распакованный spiderIt записано на только что установленной винде с чистого компакта
-
Сообщение от
MikelPa
странно
QuarantineFile('E:\260108n\setup.exe','');
QuarantineFile('E:\260108n\dwebllio.dll','');
это распакованный spiderIt записано на только что установленной винде с чистого компакта
в правилах написано... при выполнении скрипта должен запущен быть только БРАУЗЕР ... и ничего более ... все остальные процессы считаются подозрительными ...
-
-
Junior Member
- Вес репутации
- 60
т.е. CureIt извини зарапортовался совсем
Добавлено через 1 минуту
Так вроде так все и делал только что мне этот setup предлагал постоянно компьютер перезагрузить
Последний раз редактировалось MikelPa; 26.01.2008 в 21:03.
Причина: Добавлено
-
Trojan-Downloader.Win32.Small.hyi
d:\docume~1\julka\locals~1\temp\wincvukmg.exe
Выполните:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('d:\docume~1\julka\locals~1\temp\wincvukmg.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 60
Сделано сэр логи прилагаются
Последний раз редактировалось MikelPa; 31.01.2008 в 11:31.
-
Ничего подозрительного больше не видно.
Пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: sclgntfy- - D:\WINNT\
O20 - Winlogon Notify: SensLogn- - D:\WINNT\
O20 - Winlogon Notify: wzcnotif- - D:\WINNT\
Посмотрите, нужно ли вам что-то из этого:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Лишнее отключим.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
принципиально ничего.
как отключить?
-
если действительно ничего ....
то так ...
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
-