УУУУ!!! ЗВЕРИ!!!

**M@xWell** · 11.06.2007, 18:52

Всем привет.

В логе НОДа обнаружил записи поражения несколькими зверями
Win32/Agent.AMR trojan
Win32/Wukill.B worm
Win32/RJump.A worm
Win32/Perlovga virus

В ходе проверки обнаружено еще несколько:
Trojan.Downloader.Win32.Small.cyn
Trojan.Proxy.1819

Для успокоения души решил сделать "правильную" проверку. AVZ чето нашел, только я с горяча удалил карантин и инфицированные. Проверьте пожалуйста логи.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Kuzz** · 11.06.2007, 19:31

Пофиксить:

Код:

O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe

tcpip.sys - или старый, значит надо обновлять, или пропатчен.
Больше ничего подозрительного не вижу.

**Rene-gad** · 11.06.2007, 19:50

Сообщение от Kuzz

Пофиксить:

Код:

O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe

...после чего выполнить скрипт

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
 BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');
 ExecuteSysClean;
 BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
 BC_Activate;
RebootWindows(true);
end.

После перезагрузки закачайте карантин, повторите логи + boot_clr.log.

**M@xWell** · 12.06.2007, 13:45

cssrss вроде был удален ранее (по крайней мере я его не нашел). Соотвественно карантин пуст (см. начало). Жду диагноза, все ли почистилось?

**Rene-gad** · 12.06.2007, 13:49

Сообщение от M@xWell

Жду диагноза, все ли почистилось?

по крайней мере - ничего плохого не обнаружил. Есть ли какие-либо невооруженным глазом заметные проблемы?

**M@xWell** · 12.06.2007, 15:06

Есть ли какие-либо невооруженным глазом заметные проблемы?

очевидных проблем не было и до того.. если б я случайно лог НОДа не посмотрел, проверку и не делал бы. а оказалось, завелось уже...
В любом случае, благодарю за помощь.