Началось все на бухгалтерском компьютере, при запуске любого приложения выскакивало требование вставить ключевой носитель от CryptoPro, перед этим от Каспера 6 , были такие сообщения:
21.01.2009 15:42:16 Карантин: Файл C:\Documents and Settings\Filippova.USTAV-COURT\Local Settings\Temp\winSstcNR.exe, обнаружено: троянская программа 'Trojan-Spy.Win32.Zbot.ksb'.
21.01.2009 10:28:05 Процесс C:\WINDOWS\system32\rundll32.exe, обнаружено: потенциально опасное ПО 'Private data and passwords access' (модификация).
нашел файлик, который приписывался к userinit в реестре, называется twext.exe, после удаления из реестра он тут же появлялся, даже редактор не нужно было удалять, в системе файл не виделся, проверил в безопасном режиме CureIt, ничего, Каспер естественно то же ничего не дал, но все же ухитрился обмануть и в безопасном режиме как-то получилось убить процесс, запись в реестре и сам файл, но уже после перезагрузки в норм. режиме, запрос на CriptoPro сразу пропал, но сразу после загрузки наблюдается сетевая активность, особенно исходящий трафик, несколько раз появлялось аналогичное сообщение
21.01.2009 15:42:16 Карантин: Файл C:\Documents and Settings\Filippova.USTAV-COURT\Local Settings\Temp\winSstcNR.exe, обнаружено: троянская программа 'Trojan-Spy.Win32.Zbot.ksb'
через какое-то время трафик прекращается, но возможно потом опять возобновляется, не знаю пока где и копать, буду благодарен за помощь!!! переустановить систему крайне нежелательно, слишком много софта и настроек, а копии нет чистой....
да еще было сообщение от Каспера о вирусе Trojan.Win32.Burus.utb, вообщем подгружает все помаленьку...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Благодарю за быстрый ответ! но трафик откуда-то берется..., еще на одной машине в сети появилась похожая ситуация, в папке Temp у юзера обнаружен вирус Tpojan.VBS.Agent.dk и то же пошел трафик сразу после загрузки, через некоторое время он прекращается, вчера на этой машине такого не было..., на других машинах в сети пока спокойно... может быть будут какие рекомендации где копать?
Добавлено через 21 минуту
после установки обновлений безопасности Microsoft и работы AVZ трафик исходящий уменшился раз в восемь, но все равно сразу после загрузки что-то куда-то пытается отправиться, но новые вирусы вроде не грузятся, что же это все-таки было или есть..., похоже на Kido...
Последний раз редактировалось DimDo; 22.01.2009 в 19:18.
Причина: Добавлено
Уважаемый(ая) DimDo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: