-
Junior Member
- Вес репутации
- 60
Trojan-Downloader.Win32.Zlob.fsg
Касперский выдает на одной машине событие:
Файл C:\WINDOWS\TEMP\51.tmp, обнаружено: троянская программа 'Trojan-Downloader.Win32.Zlob.fsg'.
обнаружено: троянская программа Trojan-Downloader.Win32.Zlob.fsg URL: [cut]
Доступ соответственно блокируется, но такой расклад не нравиться .
Помогите плиз.
Последний раз редактировалось Luka_; 06.02.2008 в 09:34.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Подкорректируйте сообщение, а то прямые ссылки, кликнет кто и что дальше?
Добавлено через 3 минуты
Выполните в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\TosBtMng.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. Загрузите карантин согласно приложения 3 правил.
Профиксите
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
Выполните новые логи в обычном режиме.
Последний раз редактировалось wise-wistful; 05.02.2008 в 16:41.
Причина: Добавлено
-
Отключите восстановление системы!
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
Обновите базы AVZ и сделайте логи в нормальном режиме.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Карантин
Файл сохранён как080205_075610_virus_47a86afa02ccb.zipРазмер файла1341MD5f3b66c4ee182137a2906346b19dac845
Логи сейчас сделаю.
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось Luka_; 06.02.2008 в 09:34.
-
Junior Member
- Вес репутации
- 60
АВЗ не вложилось сразу
Последний раз редактировалось Luka_; 06.02.2008 в 09:34.
-
Поищите файл kdwdr.exe с помощью AVZ - Сервис - Поиск файлов на диске, пришлите по правилам.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
Bratez
Поищите файл kdwdr.exe с помощью AVZ - Сервис - Поиск файлов на диске, пришлите по правилам.
На диске С: файла не обнаружено
-
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelWinlogonNotifyByKeyName( 'System');
RebootWindows(true);
end.
Сделайте новый лог syscheck (п.10 правил).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось Luka_; 06.02.2008 в 09:34.
-
Упс, я немножко ошибся, извиняюсь, вот правильный скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'System');
RebootWindows(true);
end.
и еще раз лог syscheck пожалуйста.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось Luka_; 15.02.2008 в 12:34.
-
ОТКЛЮЧИТЕ восстановление системы, в точках восстановления могут жить зловреды и вернуться оттуда в Ваш компьютер.
После того как отключите - все точки восстановления удаляться. После этого можете включить заново.
В логах чисто.
Что-то из этого необходимо
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
-
Junior Member
- Вес репутации
- 60
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
для флешек тоже закрыть бы
>> Безопасность: к ПК разрешен доступ анонимного пользователя
можно убрать..
-
Сообщение от
Luka_
для флешек тоже закрыть бы
Это пожалуйста http://virusinfo.info/showpost.php?p=157432&postcount=2
-
-
Сообщение от
Luka_
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
можно убрать..
Для этого выполните скрипт в АВЗ
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('SSDPSRV', 4);
RebootWindows(true);
end.
По поводу флешек смотрите в посте от Maxim