Показано с 1 по 11 из 11.

NOD32 обнаружил Win32/Agent.OH и какой-то пинч. (заявка № 12595)

  1. #1
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    38

    Thumbs up NOD32 обнаружил Win32/Agent.OH и какой-то пинч.

    Добрый вечер. Вчера NOD обнаружил Win32/Agent.OH троян. После этого отрубился диспетчер задач и в автозагрузке появилась куча левых файлов типа kernelwin32.dll и ve3452gf... Вообщем вроде я их из автозагрузки и из системы удалил вроде. Просканил NOD-ом вроде ничего не нашел, но недавно опять выдал что заражен файл csrss.exe каким-то Win32/PSW.LdPinch.NEL. Вроде удалил его после перезапуска тоже. Но все-таки прошу еще раз посмотреть все ли в порядке. Спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    38
    Вот логи
    Вложения Вложения

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Вот вам скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\csrss.exe','');
     DeleteFile('C:\WINDOWS\csrss.exe');
     BC_DeleteFile('C:\WINDOWS\csrss.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки загрузить карантин согласно Приложения 3 Правил.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    38
    Я файл отправил. Но по-моему ничего там нет. Может NOD все почистил? Сейчас еще разок проверю и все.

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Да, карантин пуст. Надо было Нод отключить.

    Делай новые логи. Будем смотреть, что осталось.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    38
    Вот новые логи
    Вложения Вложения

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    В логах зверья не вижу.
    Что из этого можно отключить для повышения уровня безопасности:

    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

    Кстати, r_admin сами ставили?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    38
    Разрешена отправка приглашений удаленному помошнику,разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр),разрешена потенциально опасная служба Schedule (Планировщик заданий),разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing),к ПК разрешен доступ анонимного пользователя - Эти, в принципе, можно отключить. Но я могу и через диспетчер это сделать. А вы предлагаете скрипт? Или как? и сильно ли они влияют на безопасность? Спасибо за помощь.

    Добавлено через 2 минуты

    Да, R admin ставил сам. И настраивал тоже. Насчет угроз наслышен про него.
    Последний раз редактировалось luk; 20.09.2007 в 17:47. Причина: Добавлено

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Можешь ручками отключить, а можно и в AVZ скрипт сделать.

    Если комп сетевой, то гостя отключать методами AVZ не следует. Лучше через "Управление компьютером".

    В "Планировщик" часто вирусы в качестве заданий садятся.
    "Удаленный реестр" - кто-нибудь сбоку реестр может подредактировать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    38
    Все что потенциально опасно было, отключил сам. Спасибо за оперативные ответы и работу.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) luk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 16
      Последнее сообщение: 28.07.2012, 21:00
    2. NoD32 обнаружил в ОП Win32/Spy.Shiz.NBW
      От Metallik в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 29.10.2011, 12:33
    3. Ответов: 11
      Последнее сообщение: 03.09.2010, 22:44
    4. NOD32 обнаружил червя Win32/Conficker.AE
      От ann200 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.01.2010, 12:02
    5. NOD32 обнаружил Win32.Pocex.Gen
      От Сергеич в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 03:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00611 seconds with 17 queries