Junior Member
Вес репутации
60
Ip6Fw.sys, runtime.sys (Trojan.NtRootKit.497, BackDoor.Bulknet)
Avast через произвольное время после установки Интернет-соединения кричит о наличии Win32:Agent-NJB [Trj] в Ip6Fw.sys и Win32:Agent-MEB [Trj] в runtime.sys, а равно о попытках входящей передачи файлов, зараженных Win32:Agent-NGJ [Wrm], с разнообразных удаленных узлов.
Заранее спасибо!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выплоните в АВЗ
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Профиксите
Код:
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll
Занрузите карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16075
Повторите логи ...
Последний раз редактировалось wise-wistful; 07.01.2008 в 20:01 .
Junior Member
Вес репутации
60
Вложения
Выполните скрипт в AVZ
Код:
begin
DelAutorunByFileName('C:\WINDOWS\system32\vsjitdebugger.exe');
RebootWindows(true);
end.
Повторите лог virusinfo_syscheck.zip.
Junior Member
Вес репутации
60
Вложения
Что из этого не нужно?
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Junior Member
Вес репутации
60
Как выяснилось, ничего не нужно
Вот скрипт для отключения ненужного:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Большое письменное спасибо
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 3 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\sysfldr.dll - Backdoor.Win32.Agent.dam (DrWEB: Trojan.DownLoader.38503)