-
Junior Member
- Вес репутации
- 60
Win32/TrojanDownloader.Nurech.NCE троян
Здравстуйте.
Проблема: На работе стоит антивирус NOD32(со всеми обновлениями). Пару дней назад,антивирус, показал предупреждение о попытке интернет ресурса проникнуть на компьютер.... Соответственно, попытка была отклонена...
Теперь эти попытки повторяються КАЖДЫЕ 10 минут!!!
Как остановить "нападение" на мой компьютер?
Вопросы:
1. я присоединил картинку (скиншот), там есть сведения о тревоге и указан источник заражения.
2. Может ли этот вирус сжирать трафик(уж слищком быстро кончается)? (Соединение с инернетом через скайлинк,трафик жалко.)
3. Что вы можете посоветовать???
P.S.Буду очень признателен.
Последний раз редактировалось FrosT; 17.12.2007 в 21:25.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 60
Вы предлогаете вчитаться в правила или сделать проверу компьютера на вирусы и отправить вам лог?
P.S. Дело в том, что компьютерна работе, а я дома.
И к тому же компьютер НЕ заражен, а его только "пытаються заразить" с сайта...
""Сведение о тревоге:
Файл:
eghfwe://otlili.cn/rrrrrd04/file.exe[/url]
Вирус:
Win32/TrojanDownloader.Nurech.NCE троян""
Вирус коннектится сам. NOD32-блокирует.
Подскажите плиз))) Я больше не побеспокою))
Последний раз редактировалось FrosT; 30.11.2007 в 23:40.
-
Размер файла: 7168 байт
В файле file.exe обнаружен вирус
Как вариант - не заходить на этот сайт
Хотя бред, понимаю... когда выскакивает окошко антивируса? Во время работы в сети либо просто само по себе?
-
-
нужно выполнить правила и отправить логи ....
вы пытаетесь зайти на зараженный сайт ... антивирус блокирует загрузку трояна ......
-
-
PS: Убейте ссылку дабы никто не заразился (к примеру хттп://otlili.cn/d04/file.exe либо otlili.cn/d04/file.exe)
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
rubin
Размер файла: 7168 байт
В файле file.exe обнаружен вирус
Как вариант - не заходить на этот сайт
Хотя бред, понимаю... когда выскакивает окошко антивируса? Во время работы в сети либо просто само по себе?
Окошко вывскакивает только тогда, когда компьютер ПОДКЛЮЧЕН к интернету... Каждые 10 мин. антивирус блокирует угрозу! =)
Логи попытаюсь скинуть в понедельник (как только доберусь до работы)!
Как выглядит сообщение о тревоге, я скинул в первом сообщении:безымянный.rar->безымянный.jpg.
СПАСИБО ЗА ПОМОЩЬ!!!
P.S. Я бы просто послал))) А вы - Молодцы))
Добавлено через 5 минут
Сообщение от
V_Bond
нужно выполнить правила и отправить логи ....
вы пытаетесь зайти на зараженный сайт ... антивирус блокирует загрузку трояна ......
Логи в понедельник скину....(если они там есть,т.к. заразы на компе нет).
Я этот сайт вообще никогда не открывал.... Он,блин, самостоятельный,т.е. вирус оттуда сам лезет
Последний раз редактировалось FrosT; 30.11.2007 в 23:53.
Причина: Добавлено
-
Ну тогда тем более ждем логов
-
-
Junior Member
- Вес репутации
- 60
-
Junior Member
- Вес репутации
- 60
Здравтвуйте
Вот обещаные логи... Посмотрите, пожалуйста.. (Настчет трафика гляньте, может чего то найдете)
P.S. Все сделал по инструкции)))
Последний раз редактировалось FrosT; 05.03.2008 в 00:46.
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\ntndis.exe','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ntndis.sys','');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ntndis.sys');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\system32\drivers\ntndis.sys');
BC_DeleteSvc('ntndis');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=14758
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe
Добавлено через 7 минут
Забыл сказать - отключите восстановление системы
Последний раз редактировалось rubin; 17.12.2007 в 21:43.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 60
ок! спасибо.
Завтра отчитаюсь, что получилось.)))
-
Junior Member
- Вес репутации
- 60
Сообщение от
rubin
2.Пофиксить в HijackThis следующие строчки (
http://virusinfo.info/showthread.php?t=4491 )
Код:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe
Все сделал, кроме 2-го пункта....(Таких строчек я не нашел)
Последний раз редактировалось FrosT; 05.03.2008 в 00:46.
-
Junior Member
- Вес репутации
- 60
-
в логах чисто ....
стоит разобраться с этим
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
-
-
Junior Member
- Вес репутации
- 60
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) - Не могу ничего сказать....
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) - Не могу ничего сказать....
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP - Не могу ничего сказать....
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий - Не могу ничего сказать....
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing - Не могу ничего сказать....
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)->Компьютер главный(имеет выход в инетрет через скай-линк). К неме присоединен второй компьютер(LAN).
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
Компьютер служит для приема\отправки почты.Подключен к интернету.По LAN соединен с другой машиной, из которой, берет имформацию (базу данных).
>> Безопасность: разрешен автозапуск программ с CDROM -- Это нормально, я так думаю..
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
Доступ нужно оставить....
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Оставить
>> Безопасность: Разрешена отправка приглашений удаленному помошнику Без понятия...
На самом деле я не очень понимаю значение данных служб... Что посоветуете?
-
сделаем так .... выполните скрипт ...
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 60
Выполнил... Пока проблем не вижу... БОЛЬШОЕ ЧЕЛОВЕЧЕСКОЕ ПАСИБО!
P.S. Флеш поможите почистить? Авторанчики беспокоят....
-
Junior Member
- Вес репутации
- 60
Вложения...
По поводу флеши.
Последний раз редактировалось FrosT; 05.03.2008 в 00:46.
-
В этих логах чисто. Скорее всего, зараж. флешка не была вставлена.
Кстати, по Правилам, для каждого компьютера своя тема.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-