DrWeb нашел Trojan.Rntm.10, непрекращается обмен пакетами по локальной сети.
DrWeb нашел Trojan.Rntm.10, непрекращается обмен пакетами по локальной сети.
Последний раз редактировалось mixam; 25.09.2008 в 12:53.
логи
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=30886 , как написано в прил. 2 правил, и повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\Winwc27.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winsx84.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winmr74.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winmr51.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wingl84.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Windi73.sys',''); QuarantineFile('c:\huadio.tmp',''); DeleteFile('C:\WINDOWS\System32\Drivers\Windi73.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Windi73.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Wingl84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winmr51.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winmr51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winmr74.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winmr74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsx84.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winsx84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwc27.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winwc27.sys'); DeleteFile('c:\huadio.tmp'); BC_DeleteFile('c:\huadio.tmp'); DeleteService('autorun'); BC_DeleteSvc('autorun'); DeleteService('Winwc27'); DeleteService('Winsx84'); DeleteService('Winmr74'); DeleteService('Winmr51'); DeleteService('Wingl84'); DeleteService('Windi73'); BC_DeleteSvc('Winwc27'); BC_DeleteSvc('Winsx84'); BC_DeleteSvc('Winmr74'); BC_DeleteSvc('Winmr51'); BC_DeleteSvc('Wingl84'); BC_DeleteSvc('Windi73'); BC_Importquarantinelist; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось Numb; 25.09.2008 в 13:54. Причина: Поправил скрипт
Карантин отправил. Ситуация не изменилась.
естественно , что отправка карантина не повлияла на ситуацию
повторите логи ...
лови
пофиксите
больше в логах ничего подозрительногоКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
непомогло, постоянно идет обмен по локальной сети
если у вас действительно нет расшареных ресурсов и обмена с локалкой не должно быть...
выполните скрипт
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); RebootWindows(true); end.
Спасибо большое. Вроде работает.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 15
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) mixam, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.