TrojanDownloader.Small.NTV

Printable View

08.05.2007, 19:16
Silver

Вложений: 3

ctfmon.exe Win32/Grum.Gen и Win32/TrojanDownloader.Small.NTV

Добрый День!
Печально что даже домой сквозь защиту смогли пробраться гады... но тем не менее..после обнаружения нод32(пример отчёта выкладываю тут в сообщении ниже) и вроде как удаления в крантин, др вэб ничего не нашёл....avz вроде как нашёл замаскерованый под winlogo.exe бяку ... тем не менее из автозагрузки никак не хочет удаляться запуск этого винлогона с папки Temp. сканы выложил. посмотрите пожалуйста!

Отчёт НОД32:

file G:\Documents and Settings\Silver\Local Settings\Temporary Internet Files\Content.IE5\O3F3IS5H\load2_ru[1].exe Win32/TrojanDownloader.Small.NTV trojan quarantined - deleted Event occurred on a new file created by the application: G:\Documents and Settings\~tmp0374.exe.

file G:\Documents and Settings\Silver\1.exe Win32/TrojanDownloader.Small.NTV trojan quarantined - deleted Event occurred on a new file created by the application: G:\Documents and Settings\~tmp0374.exe.

file [URL][/URL] Win32/TrojanDownloader.Small.NTV trojan Error quarantining the object - - Connection terminated

G:\WINDOWS\system32\ctfmon.exe Win32/Grum.Gen virus quarantined - deleted Event occurred on a new file created by the application: G:\Documents and Settings\Silver\0.exe.
08.05.2007, 20:09
Rene-gad

[QUOTE=Silver;108582]тем не менее из автозагрузки никак не хочет удаляться запуск этого винлогона с папки Temp.
[/QUOTE]
Темп-Папки в безопасном модусе чистить не пробовали? [url]www.clearprog.de[/url] или [url]http://www.yooapps.ch/?c=unternehmen/news_details&newsid=48&l=E&[/url]
Пофиксите
[CODE]O1 - Hosts: 84.53.200.2 l2testauthd.lineage2.com
O1 - Hosts: 84.53.200.2 l2authd.lineage2.com
O1 - Hosts: 84.53.200.2 nprotect.lineage2.com
O1 - Hosts: 84.53.200.2 nprotect.ncsoft.co.kr
O1 - Hosts: 84.53.200.2 update.nprotect.com
O1 - Hosts: 84.53.200.2 update.nprotect.net
O1 - Hosts: 84.53.200.2 84.53.200.2
O4 - HKCU\..\Run: [Firewall auto setup] G:\DOCUME~1\Silver\LOCALS~1\Temp\winlogon.exe
O16 - DPF: {FAB8A8E6-219A-4C0A-AD91-BF4AB3947D6B} (SingleClient Class) - file://G:\DOCUME~1\Silver\LOCALS~1\Temp\achat_default-3.2.0.23.cab[/CODE]
Выполните скрипт на карантин
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\DOCUME~1\Silver\LOCALS~1\Temp\winlogon.exe','');
RebootWindows(true);
end.[/CODE]
и закачайте по правилам.
Общий вопрос - системные обновления и патчи когда последний раз устанавливали?
08.05.2007, 20:59
Silver

[quote=Rene-gad;108592]Темп-Папки в безопасном модусе чистить не пробовали? [URL="http://www.clearprog.de"]www.clearprog.de[/URL] или [URL="http://www.yooapps.ch/?c=unternehmen/news_details&newsid=48&l=E&"]http://www.yooapps.ch/?c=unternehmen/news_details&newsid=48&l=E& [/URL]
[/quote]
Папку темп я и без безопасного режима чищу, винлогон так и удалил, после фикса его из автозагрузки и перезагрузки он исчез из папки Temp. так что прислать ничего немогу(т.к. в карантине avz его не оказалось)...разве что из карантина нод32 если желаете!?

[quote=Rene-gad;108592]Общий вопрос - системные обновления и патчи когда последний раз устанавливали?[/quote]
Виндосовские обновления категорически не качаю, ибо винда крякнутая...бывали уже прицинденты, когда после случайно закачанного обновления постоянно выдавалось сообщение о возможном нелицензионном использовании Windows. так что сами понимаете, да и трафика у меня не столько в сети , что бы их обновления постоянно закачивать.