-
Junior Member
- Вес репутации
- 60
подозрение на Trojan-PSW.Win32.OnLineGames.gfz
Microsoft® Windows Vista™ Home Basic. Версия ОС 6.0.6000. Версия Microsoft DirectX 10.0. Версия OpenGL 6.0.6000.16386 (vista_rtm.061101-2205). Название ЦП- Intel(R) Core(TM)2 Duo CPU T5250 @ 1.50GHz. Версия SMBIOS V1.21. Видеоадаптер ATI Mobility Radeon HD 2300, Видеопроцессор ATI Radeon Graphics Processor (0x7210). в инете, через роутер(локальная сеть). Комп - домашний.
Я не очень давно создавл тему в разделе "Помогите!", ссылка http://virusinfo.info/showthread.php?t=16289 . Потом решил установить KIS 7.0(триал) и столкнулся с проблемой в установке kis7.0.1.321ru, о чём создал тему на http://forum.kaspersky.com/index.php?showtopic=57894 в в итоге с установкой решил проблему удачно, сейчас стоит kis7.0.1.321ru. Проблему решил путём отката на ранее копированный образ диска "С". В итоге проблемы, которые решались в моей теме http://virusinfo.info/showthread.php?t=16289 теперь обновились. AVZ сообщает в логах о новых и старых(уже обсуждаемых) подозрениях. Выполнил скрипт из поста №23(в первой ссылке). Обратил внимание(повторение проблем после скрипта), что после выполнения скрипта исчез значёк в трее о переключении языка на клавиатуре и проблема решилась только через указание другой комбинации клавиш, отличной от стандартной; так же восстановление системы отказывалось создавать контрольную точку. Проблемы решил опять - через откат к раннему образу диска "С". Сейчас пока ничего не предпринимал и с системой всё нормально.
При помощи KIS 7.0 как отключить тот же порт 12346.
С уважением, ks07. Жду ответов.
Последний раз редактировалось ks07; 20.07.2008 в 23:29.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
пробуем так ...
Найдите в реесте все записи которые касаются порта 12346 . И исправте их значения на false ....
-
-
Junior Member
- Вес репутации
- 60
В реестре, в "найти 12346" ничего не отыскивается. ?
А что касается: в логе syscheck -
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode :
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dlldrLoadDll (123) перехвачена, метод APICodeHijack.JmpTo[30781F16]
>>> Код руткита в функции LdrLoadDll нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
--- как?
3. Сканирование дисков
C:\Program Files\HP\Digital Imaging\bin\hpqtax08.exe >>> подозрение на Trojan-PSW.Win32.OnLineGames.gfz ( 005E6C0C 08CD8ABD 0020FD89 001D885F 49152) ?
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 17 TCP портов и 7 UDP портов
>>> Обратите внимание: Порт 12346 TCP - Вирус NetBus () ?
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-268 )
>> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100) [B]?[B]
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: Разрешены терминальные подключения к данному ПК ? вопрос ко всем , выше перечисленным (пункт 8 )
Последний раз редактировалось ks07; 28.01.2008 в 01:54.
-
В Вашем случае тут ничего опасного...
Порт через КИС можно закрыть вроде бы так (точно не уверен, у меня кав):
Сетевой экран - правила для пакетов - запрет входящих соединений на порт 12346
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
rubin
В Вашем случае тут ничего опасного...
Порт через КИС можно закрыть вроде бы так (точно не уверен, у меня кав):
Сетевой экран - правила для пакетов - запрет входящих соединений на порт 12346
Закрыл порт удачно. За рецензию по логам - благодарю.