Trojan.Win32.Buzus.asqt

Printable View

31.03.2009, 18:14
Hanson

Trojan.Win32.Buzus.asqt

есть сеть,
есть зверь [quote]Kaspersky 7.0.0.125 2009.03.31 Trojan.Win32.Buzus.asqt[/quote]стучиться на 445 порт на разные локальные IP (нетолько нашей подсети а скорее просто рандомно)
после лечения часть компов повторно заражается, часть (пока) чисты

как вариант подошло бы отключение НЭТБИОСА, но нельзя, новэльная сеть не будет работать,

есть какие нибудь идеи?
если нужен карантин могу выслать.
31.03.2009, 18:44
Rampant

Мне этот зловред, попадался в паре с Kido, может в этом направлении стоит посмотреть.
01.04.2009, 10:27
Hanson

базы Нода обновились, он его теперь видит(вроде как нелечит)
вирус скачет по кампам туды сюды ,
Kido невидно
кидокилер молчит, на сайты антивирусов захожу
01.04.2009, 11:33
Ego1st

выяснить кто разносит нельзя?
01.04.2009, 11:49
Hanson

мне кажется что любой зараженный комп может заражать другие
потому что блокируюся попытки проникновения от разных машин

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

после заблокированых попыток
появляется тревога в таких папках

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\MJEZ45SZ\x[2] - Win32/IRCBot.AMC
или в
C:\Documents and Settings\Default user\Local Settings\Temporary Internet Files\Content.IE5\MJEZ45SZ\x[2] - Win32/IRCBot.AMC
при этом в system32 появляется файлы типа 2 цифры.scr(от нескольких штук и более) а в system\services.exe

кстати удаление по маске 2 цифры .scr
так сработает? [CODE]DeleteFileMask('c:\windows\system32\', '??.scr', true);[/CODE]
01.04.2009, 12:14
AndreyKa

Что мешает установить надежный пароль на учетные записи с правами Администратора и обновления безопасности на Windows?
01.04.2009, 13:35
Hanson

на почтовых и терминальных серверах надежные пароли

[size="1"][color="#666686"][B][I]Добавлено через 27 минут[/I][/B][/color][/size]

и это непомогло
01.04.2009, 13:48
AndreyKa

А на рабочих станциях?
Черьвя могли занести на флешке или с ноутбуком.
01.04.2009, 14:32
Hanson

на раб станциях канешь с паролями проблема,
к серверам ничего неприсоеденяли (((
01.04.2009, 14:33
Ego1st

Значить дырка в сервере, неоткуда он взяться же не мог=)) ставить все последние патчи=)
03.04.2009, 15:38
Hanson

ПОБЕДИЛ ))))
03.04.2009, 16:25
*GooD*

Поделись - как победил его??? Я уже с ним два дня бьюсь, а он то на одном, то на другом компе повляется....
03.04.2009, 17:55
Hanson

вобщем то после добавления в базы Нода сигнатуры, антивирус ловит его почти всегда, зачистил обновил антивирь и все.
в ходе всего этого выяснилось что некоторые сервера без антивирусов были(спасибо за это тем кто их админит, 2 почтовых и сервак 1с)