Показано с 1 по 6 из 6.

Backdoor.Win32.Agent.eom.. посмотрите логи пжлста) (заявка № 22432)

  1. #1
    Junior Member Репутация
    Регистрация
    04.05.2008
    Адрес
    Барнаул
    Сообщений
    3
    Вес репутации
    38

    Exclamation Backdoor.Win32.Agent.eom.. посмотрите логи пжлста)

    Доброго времени суток. Вкратце опишу возникшую проблемку:

    Возникли подозрения на наличие инородного софта внутри системы. Проверка антивирусом и файрволлом выявила Dialer.sexex.8, BackDoor.FireOn.13 в system volume information и в папке с виндузой Trojan.Downloader.56634 в файле ftp33.dll, которые после проверки и были устранены.
    Система: 2 компа в локальной сетке, выход в Инет был доступен через мой по АДСЛь (недавно соединение почему-то перестало корректно работать в обе стороны, доступ со стороны второй системы к дискам почему-то не доступен со ссылкой на запрет ей с моей стороны доступа – есть предположение, что инородный софтъ как-то с этим связан ибо уже перепробовал многое), во время теста AVZ локальная сеть физически отрубалась.

    К сожалению при выполнении пункта 8 создан не virusinfo_syscure.zip, а virusinfo_cure.zip, размер которого составил 2,51 МБ..
    Прикладываю логи:
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1283
    virusinfo_syscure.zip тоже должен был быть создан, посмотрите в папке LOG, если нет, попробуйте еще раз выполнить пункт 8 правил.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    04.05.2008
    Адрес
    Барнаул
    Сообщений
    3
    Вес репутации
    38
    К сожалению повторный 2х с половиной часовой тест 3х винтов ни к чему не привел - в папке LOG созданы только virusinfo_cure.zip, virusinfo_syscheck.htm, virusinfo_syscheck.xml, virusinfo_syscheck.zip... Система проходит тест (п.8 ), но virusinfo_syscure.zip не создается при прогоне скрипта никак.. [базовые настройки AVZ не менял]. Могу выложить ту инфу, что AVZ выдает в окно "Протокол" если есть в том необходимость...

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    Цитата Сообщение от Hadros Посмотреть сообщение
    доступ со стороны второй системы к дискам почему-то не доступен со ссылкой на запрет ей с моей стороны
    1 попробуйте включить доступ анонимного пользователя ...
    2 лог не создается из-за аутпост ...
    3 зловредного ничего не видно
    4 в аутпост SecuritySuite есть антивирус по этому с вебом будет кофликтовать ...

  6. #5
    Junior Member Репутация
    Регистрация
    04.05.2008
    Адрес
    Барнаул
    Сообщений
    3
    Вес репутации
    38
    >>1 попробуйте включить доступ анонимного пользователя ...

    каким образом? не совсем вас понял. пробовал менять группу, обновлять дрова, для частоты эксперимента вообще отрубал файрвол, служба доступа к файлам и принтерам Microsoft работает, доступ к дискам для чтения открыт. Не могли бы вы по-подробней разъяснить, если не затруднит.

    >>2 лог не создается из-за аутпост ...

    При проведении теста AVZ всё выполнялось по пунктам правил, находящихся на форуме. Как Outpost Security Suite Pro так и оба файла DrWeb'a (spiderui.exe и SpiderNT.exe) выгружались предварительно перед запуском AVZ и прогонкой 2 необходимых скриптов. Отмечу, что virusinfo_syscheck.zip все таки был создан при исполнении пункта 10.
    Если что то даст, во время выполнения пункта 8 в поле Протоколы наблюдалась "Ошибка в работе антируткита [Range check error], шаг [11]".

    >>3 зловредного ничего не видно

    А как быть с подозрениями ряда:
    1)C:\Учёба\ИМЭП.rar/{RAR}/ИМЭП\Completed\IMEP.exe/{RAR-SFX}/Stock\Stock_v1_0.exe >>> подозрение на Trojan-Downloader.Win32.Delf.cdy ( 0874B9EB 0500EA09 001D8EFC 002A1885 413696) или
    2) Функция user32.dll: DdeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[10060CF2]>>> Код руткита в функции DdeInitializeA нейтрализован (и прочими)

    Есть ли смысл отрубать службу RemoteRegistry (Удаленный реестр) в моём случае, не подскажете?

    >>4 в аутпост SecuritySuite есть антивирус по этому с вебом будет кофликтовать ...

    хм... вроде не замечено инциндентов ->Отупост при установке Веба сразу его заносит в исключения, тоже самое достигается и ДрВебе путем добавления папки файрвола в список исключаемых путей и файлов. или все равно?

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    1 выполните скрипт ...
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 0);
    RebootWindows(true);
    end.
    2"Ошибка в работе антируткита [Range check error], шаг [11]".
    аутпост давит антируткит авз ...
    3 подозрения можно игнорировать - авз всегда их подозревает ...
    4 это ват так кажется ...

  • Уважаемый(ая) Hadros, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. посмотрите логи пжлста
      От juls в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.12.2011, 14:18
    2. Посмотрите, логи пжлста.
      От Nevskiy в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 19.06.2011, 21:05
    3. Backdoor.Win32.Agent.fvy и Trojan-Downloader.Win32.Agent.lvm
      От alexm в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 28.09.2010, 23:01
    4. Посмотрите логи пжлста
      От Bonderas в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 13.05.2009, 20:33
    5. Ответов: 8
      Последнее сообщение: 22.02.2009, 10:03

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01435 seconds with 17 queries