Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Win32/TrojanDownloader.Nurech.NCE троян (заявка № 14758)

  1. #1
    Junior Member Репутация
    Регистрация
    30.11.2007
    Адрес
    Санкт-Петербург
    Сообщений
    60
    Вес репутации
    37

    Thumbs up Win32/TrojanDownloader.Nurech.NCE троян

    Здравстуйте.
    Проблема: На работе стоит антивирус NOD32(со всеми обновлениями). Пару дней назад,антивирус, показал предупреждение о попытке интернет ресурса проникнуть на компьютер.... Соответственно, попытка была отклонена...
    Теперь эти попытки повторяються КАЖДЫЕ 10 минут!!!
    Как остановить "нападение" на мой компьютер?
    Вопросы:
    1. я присоединил картинку (скиншот), там есть сведения о тревоге и указан источник заражения.
    2. Может ли этот вирус сжирать трафик(уж слищком быстро кончается)? (Соединение с инернетом через скайлинк,трафик жалко.)
    3. Что вы можете посоветовать???

    P.S.Буду очень признателен.
    Последний раз редактировалось FrosT; 17.12.2007 в 21:25.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542

  4. #3
    Junior Member Репутация
    Регистрация
    30.11.2007
    Адрес
    Санкт-Петербург
    Сообщений
    60
    Вес репутации
    37
    Вы предлогаете вчитаться в правила или сделать проверу компьютера на вирусы и отправить вам лог?

    P.S. Дело в том, что компьютерна работе, а я дома.
    И к тому же компьютер НЕ заражен, а его только "пытаються заразить" с сайта...

    ""Сведение о тревоге:
    Файл:
    eghfwe://otlili.cn/rrrrrd04/file.exe[/url]
    Вирус:
    Win32/TrojanDownloader.Nurech.NCE троян""

    Вирус коннектится сам. NOD32-блокирует.
    Подскажите плиз))) Я больше не побеспокою))
    Последний раз редактировалось FrosT; 30.11.2007 в 23:40.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Размер файла: 7168 байт
    В файле file.exe обнаружен вирус

    Как вариант - не заходить на этот сайт
    Хотя бред, понимаю... когда выскакивает окошко антивируса? Во время работы в сети либо просто само по себе?

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    нужно выполнить правила и отправить логи ....
    вы пытаетесь зайти на зараженный сайт ... антивирус блокирует загрузку трояна ......

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    PS: Убейте ссылку дабы никто не заразился (к примеру хттп://otlili.cn/d04/file.exe либо otlili.cn/d04/file.exe)

  8. #7
    Junior Member Репутация
    Регистрация
    30.11.2007
    Адрес
    Санкт-Петербург
    Сообщений
    60
    Вес репутации
    37
    Цитата Сообщение от rubin Посмотреть сообщение
    Размер файла: 7168 байт
    В файле file.exe обнаружен вирус

    Как вариант - не заходить на этот сайт
    Хотя бред, понимаю... когда выскакивает окошко антивируса? Во время работы в сети либо просто само по себе?
    Окошко вывскакивает только тогда, когда компьютер ПОДКЛЮЧЕН к интернету... Каждые 10 мин. антивирус блокирует угрозу! =)
    Логи попытаюсь скинуть в понедельник (как только доберусь до работы)!

    Как выглядит сообщение о тревоге, я скинул в первом сообщении:безымянный.rar->безымянный.jpg.
    СПАСИБО ЗА ПОМОЩЬ!!!
    P.S. Я бы просто послал))) А вы - Молодцы))

    Добавлено через 5 минут

    Цитата Сообщение от V_Bond Посмотреть сообщение
    нужно выполнить правила и отправить логи ....
    вы пытаетесь зайти на зараженный сайт ... антивирус блокирует загрузку трояна ......
    Логи в понедельник скину....(если они там есть,т.к. заразы на компе нет).
    Я этот сайт вообще никогда не открывал.... Он,блин, самостоятельный,т.е. вирус оттуда сам лезет
    Последний раз редактировалось FrosT; 30.11.2007 в 23:53. Причина: Добавлено

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Ну тогда тем более ждем логов

  10. #9
    Junior Member Репутация
    Регистрация
    30.11.2007
    Адрес
    Санкт-Петербург
    Сообщений
    60
    Вес репутации
    37
    Спасибо, еще раз))

  11. #10
    Junior Member Репутация
    Регистрация
    30.11.2007
    Адрес
    Санкт-Петербург
    Сообщений
    60
    Вес репутации
    37
    Здравтвуйте
    Вот обещаные логи... Посмотрите, пожалуйста.. (Настчет трафика гляньте, может чего то найдете)
    P.S. Все сделал по инструкции)))
    Последний раз редактировалось FrosT; 05.03.2008 в 00:46.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\drivers\ntndis.exe','');
     QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ntndis.sys','');
     DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\ntndis.sys');
     BC_ImportAll;
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ntndis.sys');
     BC_DeleteSvc('ntndis');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=14758

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
    O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe
    Добавлено через 7 минут

    Забыл сказать - отключите восстановление системы
    Последний раз редактировалось rubin; 17.12.2007 в 21:43. Причина: Добавлено

  13. #12
    Junior Member Репутация
    Регистрация
    30.11.2007
    Адрес
    Санкт-Петербург
    Сообщений
    60
    Вес репутации
    37
    ок! спасибо.
    Завтра отчитаюсь, что получилось.)))

  14. #13
    Junior Member Репутация
    Регистрация
    30.11.2007
    Адрес
    Санкт-Петербург
    Сообщений
    60
    Вес репутации
    37
    Цитата Сообщение от rubin Посмотреть сообщение
    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
    O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe
    Все сделал, кроме 2-го пункта....(Таких строчек я не нашел)
    Последний раз редактировалось FrosT; 05.03.2008 в 00:46.

  15. #14
    Junior Member Репутация
    Регистрация
    30.11.2007
    Адрес
    Санкт-Петербург
    Сообщений
    60
    Вес репутации
    37
    Карантин сбросил.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    в логах чисто ....
    стоит разобраться с этим
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

  17. #16
    Junior Member Репутация
    Регистрация
    30.11.2007
    Адрес
    Санкт-Петербург
    Сообщений
    60
    Вес репутации
    37
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) - Не могу ничего сказать....

    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) - Не могу ничего сказать....

    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP - Не могу ничего сказать....

    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий - Не могу ничего сказать....

    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing - Не могу ничего сказать....

    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)->Компьютер главный(имеет выход в инетрет через скай-линк). К неме присоединен второй компьютер(LAN).

    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    Компьютер служит для приема\отправки почты.Подключен к интернету.По LAN соединен с другой машиной, из которой, берет имформацию (базу данных).

    >> Безопасность: разрешен автозапуск программ с CDROM -- Это нормально, я так думаю..

    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    Доступ нужно оставить....

    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Оставить

    >> Безопасность: Разрешена отправка приглашений удаленному помошнику Без понятия...

    На самом деле я не очень понимаю значение данных служб... Что посоветуете?

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    сделаем так .... выполните скрипт ...
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.

  19. #18
    Junior Member Репутация
    Регистрация
    30.11.2007
    Адрес
    Санкт-Петербург
    Сообщений
    60
    Вес репутации
    37
    Выполнил... Пока проблем не вижу... БОЛЬШОЕ ЧЕЛОВЕЧЕСКОЕ ПАСИБО!
    P.S. Флеш поможите почистить? Авторанчики беспокоят....

  20. #19
    Junior Member Репутация
    Регистрация
    30.11.2007
    Адрес
    Санкт-Петербург
    Сообщений
    60
    Вес репутации
    37
    Вложения...
    По поводу флеши.
    Последний раз редактировалось FrosT; 05.03.2008 в 00:46.

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    В этих логах чисто. Скорее всего, зараж. флешка не была вставлена.
    Кстати, по Правилам, для каждого компьютера своя тема.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) FrosT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Троян Win32/TrojanDownloader.Carberp.AH
      От LoginzaID: 741821066 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 12.05.2012, 14:02
    2. Троян Win32/TrojanDownloader.Carberp
      От pinaszxc в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.03.2012, 20:05
    3. Надоедает Win32/TrojanDownloader.Wigon.BS троян
      От Арина Родионовна в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 03.05.2009, 07:09
    4. Win32/TrojanDownloader.Agent.OCD троян
      От Izzy в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 07:16
    5. Непобедимый Win32/TrojanDownloader.Agent.NVF троян
      От M.V. Basten в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 04:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00796 seconds with 16 queries