Показано с 1 по 10 из 10.

Ip6Fw.sys, runtime.sys (Trojan.NtRootKit.497, BackDoor.Bulknet) (заявка № 16075)

  1. #1
    Junior Member Репутация
    Регистрация
    29.12.2007
    Сообщений
    12
    Вес репутации
    38

    Thumbs up Ip6Fw.sys, runtime.sys (Trojan.NtRootKit.497, BackDoor.Bulknet)

    Avast через произвольное время после установки Интернет-соединения кричит о наличии Win32:Agent-NJB [Trj] в Ip6Fw.sys и Win32:Agent-MEB [Trj] в runtime.sys, а равно о попытках входящей передачи файлов, зараженных Win32:Agent-NGJ [Wrm], с разнообразных удаленных узлов.
    Заранее спасибо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Выплоните в АВЗ

    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
     DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Профиксите

    Код:
    O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll
    Занрузите карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16075

    Повторите логи ...
    Последний раз редактировалось wise-wistful; 07.01.2008 в 20:01.

  4. #3
    Junior Member Репутация
    Регистрация
    29.12.2007
    Сообщений
    12
    Вес репутации
    38
    Сделано.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1696
    Выполните скрипт в AVZ
    Код:
    begin
     DelAutorunByFileName('C:\WINDOWS\system32\vsjitdebugger.exe');
     RebootWindows(true);
    end.
    Повторите лог virusinfo_syscheck.zip.

  6. #5
    Junior Member Репутация
    Регистрация
    29.12.2007
    Сообщений
    12
    Вес репутации
    38
    Есть.
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1696
    Что из этого не нужно?
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

  8. #7
    Junior Member Репутация
    Регистрация
    29.12.2007
    Сообщений
    12
    Вес репутации
    38
    Как выяснилось, ничего не нужно

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Вот скрипт для отключения ненужного:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    29.12.2007
    Сообщений
    12
    Вес репутации
    38
    Большое письменное спасибо

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\sysfldr.dll - Backdoor.Win32.Agent.dam (DrWEB: Trojan.DownLoader.38503)


  • Уважаемый(ая) Jura Gorohovsky, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. были Trojan.NtRootKit.248, Backdoor.Bulknet
      От Spy Gates в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:08
    2. Backdoor.Bulknet и trojan.ntrootkit.248
      От Vointorf в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 02:00
    3. Trojan.NtRootKit.248 + BackDoor.Bulknet
      От Valchara в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:54
    4. Ответов: 9
      Последнее сообщение: 22.02.2009, 01:52
    5. Backdoor.Bulknet и Trojan.NtRootKit.248
      От Gray в разделе Помогите!
      Ответов: 60
      Последнее сообщение: 22.02.2009, 01:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00970 seconds with 17 queries