Junior Member
Вес репутации
60
Win32/Wigon.Z и Win32/Rootkit.Agent.NDF
Добрый день, уважаемые хелперы!
Установил нод32, проверился. В процессе проверке были найдены:
C:\DOCUME~1\LOCALS~1\Temp\145671.exe
Win32/Wigon.Z
Событие в новом файле, созданном приложением C:\Program Files\Internet Explorer\IEXPLORE.EXE. Файл был перемещен в карантин.
c:\WINDOWS\System32\drivers\runtime.sys
Win32/Rookit.Agent.NDF
Событие в новом файле, созданном приложением C:\WINDOWS\Temp\startdrv.exe. Файл был перемещен в карантин.
C:\WINDOWS\system32\drivers\ip6fw.sys - Win32/Rootkit.Agent.DP троян
Сейчас после загрузки первые 2 сообщения продолжают появляться.
Помогите пожалуйста решить проблему.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Первым будет такой:
Код:
begin
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
// BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
// BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
// BC_DeleteSvc('Ip6Fw');
BC_Activate;
RebootWindows(true);
end.
Второй скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
ExecuteSysClean;
RebootWindows(true);
end.
Сделать новые логи. Загрузить карантин через ссылку.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
60
новые логи в атаче. Карантин загрузил, правда, архив без пароля сделал
Вложения
Сообщение от
art1k
Карантин загрузил, правда, архив без пароля сделал
если карантин делается в соответствии с пунктом 3 правил, в этом случае пароль ставиться автоматически.
В логах чисто. Карантин ваш пустой.
Рекомендуется отключить все, что вам не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
В логах стало чисто. Карантин сейчас посмотрю.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
60
Как отключить "административный доступ к локальным дискам (C$, D$ ...)"?
загрузить карантин еще раз?
Как отключить "административный доступ к локальным дискам:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
end.
Если файлы в карантине AVZ на самом деле есть, пришлите. Только архивируйте при выключенном антивирусе.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Заархивировал заново, выслал... Спасибо огромное за помощь!
Пустой карантин. Там только ini-файлы.
Не болейте!!
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 4 В ходе лечения вредоносные программы в карантинах не обнаружены