Backdoor.Win32.Agent.eom.. посмотрите логи пжлста)

[Hadros]

Доброго времени суток. Вкратце опишу возникшую проблемку:

Возникли подозрения на наличие инородного софта внутри системы. Проверка антивирусом и файрволлом выявила Dialer.sexex.8, BackDoor.FireOn.13 в system volume information и в папке с виндузой Trojan.Downloader.56634 в файле ftp33.dll, которые после проверки и были устранены.
Система: 2 компа в локальной сетке, выход в Инет был доступен через мой по АДСЛь (недавно соединение почему-то перестало корректно работать в обе стороны, доступ со стороны второй системы к дискам почему-то не доступен со ссылкой на запрет ей с моей стороны доступа – есть предположение, что инородный софтъ как-то с этим связан ибо уже перепробовал многое), во время теста AVZ локальная сеть физически отрубалась.

К сожалению при выполнении пункта 8 создан не virusinfo_syscure.zip, а virusinfo_cure.zip, размер которого составил 2,51 МБ..
Прикладываю логи:

[kps]

virusinfo_syscure.zip тоже должен был быть создан, посмотрите в папке LOG, если нет, попробуйте еще раз выполнить пункт 8 правил.

[Hadros]

К сожалению повторный 2х с половиной часовой тест 3х винтов ни к чему не привел - в папке LOG созданы только virusinfo_cure.zip, virusinfo_syscheck.htm, virusinfo_syscheck.xml, virusinfo_syscheck.zip... Система проходит тест (п.8 ), но virusinfo_syscure.zip не создается при прогоне скрипта никак.. [базовые настройки AVZ не менял]. Могу выложить ту инфу, что AVZ выдает в окно "Протокол" если есть в том необходимость...

[V_Bond]

доступ со стороны второй системы к дискам почему-то не доступен со ссылкой на запрет ей с моей стороны

1 попробуйте включить доступ анонимного пользователя ...
2 лог не создается из-за аутпост ...
3 зловредного ничего не видно
4 в аутпост SecuritySuite есть антивирус по этому с вебом будет кофликтовать ...

[Hadros]

>>1 попробуйте включить доступ анонимного пользователя ...

каким образом? не совсем вас понял. пробовал менять группу, обновлять дрова, для частоты эксперимента вообще отрубал файрвол, служба доступа к файлам и принтерам Microsoft работает, доступ к дискам для чтения открыт. Не могли бы вы по-подробней разъяснить, если не затруднит.

>>2 лог не создается из-за аутпост ...

При проведении теста AVZ всё выполнялось по пунктам правил, находящихся на форуме. Как Outpost Security Suite Pro так и оба файла DrWeb'a (spiderui.exe и SpiderNT.exe) выгружались предварительно перед запуском AVZ и прогонкой 2 необходимых скриптов. Отмечу, что virusinfo_syscheck.zip все таки был создан при исполнении пункта 10.
Если что то даст, во время выполнения пункта 8 в поле Протоколы наблюдалась "Ошибка в работе антируткита [Range check error], шаг [11]".

>>3 зловредного ничего не видно

А как быть с подозрениями ряда:
1)C:\Учёба\ИМЭП.rar/{RAR}/ИМЭП\Completed\IMEP.exe/{RAR-SFX}/Stock\Stock_v1_0.exe >>> подозрение на Trojan-Downloader.Win32.Delf.cdy ( 0874B9EB 0500EA09 001D8EFC 002A1885 413696) или
2) Функция user32.dll: DdeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[10060CF2]>>> Код руткита в функции DdeInitializeA нейтрализован (и прочими)

Есть ли смысл отрубать службу RemoteRegistry (Удаленный реестр) в моём случае, не подскажете?

>>4 в аутпост SecuritySuite есть антивирус по этому с вебом будет кофликтовать ...

хм... вроде не замечено инциндентов ->Отупост при установке Веба сразу его заносит в исключения, тоже самое достигается и ДрВебе путем добавления папки файрвола в список исключаемых путей и файлов. или все равно?

[V_Bond]

1 выполните скрипт ...

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 0);
RebootWindows(true);
end.

2"Ошибка в работе антируткита [Range check error], шаг [11]".
аутпост давит антируткит авз ...
3 подозрения можно игнорировать - авз всегда их подозревает ...
4 это ват так кажется ...