При вклучении ноута NIS сигнализирует о попытке процесса winlogon.exe выйти в интернет,потом начинается проверка кучи писем,Cureit удалил корня диска С троян .Zlob проблемма осталась.Проверте пожалуста логи.
Printable View
При вклучении ноута NIS сигнализирует о попытке процесса winlogon.exe выйти в интернет,потом начинается проверка кучи писем,Cureit удалил корня диска С троян .Zlob проблемма осталась.Проверте пожалуста логи.
Отключите антивирус и интернет!
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:WinNt32.dll,Ejm60.sys,правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
[URL="http://virusinfo.info/showthread.php?t=7239"]
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('WinNt32.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ejm60.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
DeleteService('tcpsr');
DeleteService('Ejm60');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Ejm60.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('WinNt32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('tcpsr ');
BC_DeleteSvc('Ejm60 ');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=23789[/url]
Повторите логи.
Файл сохранён как 080531_043611_2008-05-31_48411c0bd3670.zip
Размер файла 5010
MD5 3d7d80094ab782b29c5c2e9b0d5cbf39
И ещё рядом с файлом WinNt32.dll находился файл WinNt32.dl_,с ним что-то делать?
Логи:
Сделайте ему Force Delete и перезагрузитесь,в логах чисто,жалобы есть?
Большое спасибо,никто никуда уже не лезет,жалоб нет,если не секрет кто это был?И откуда он пришел,на флешке или с интернета,у нас на шлюзе стоит Panda,она тоже прпустила?Как вы думаете,стоит ли заменить NIS на что-то более надёжное,ноут начальника,а он не сильно разбирается в безоасности.
У вас был спамбот булкнет,залез он к вам из интернета,универсальной защиты нет:)
Нам интересно [URL="http://virusinfo.info/showthread.php?t=19883"]Ваше мнение[/URL] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Спасибо ещё раз,книгу я уже читал,рекомендациями пользуюсь,теперь бы начальника заставить прочесть:).По поводу замены NIS что нибудь посоветуете?
[url]http://virusinfo.info/showthread.php?t=1550[/url], но идеальной защиты не существует.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]