Помогите убить Win32/Medbot.HF
В системе в двух папках регулярно создаются файлы setup.exe, которые NOD32 определяет как Win32/Medbot.HF. Полный скан системы при загрузке с чистого диска ничего не выявил.
P.S. Я знаю, что тема про MedBot.HF есть, но мне почему-то неудалось написать сообщение в той ветке.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ - Файл - Выполнить скрипт:
Пришлите файл 8273_quarantine.zip из каталога AVZ по ссылке Прислать запрошенные файлы.Код:begin QuarantineFile('c:\windows\system32\taskswitch.exe',''); CreateQurantineArchive(GetAVZDirectory+'8273_quarantine.zip'); end.
Упомянутые две папки случайно не открыты для доступа по сети?
Файл отослал.
Да, папки открыты в сеть. На компе две сетевухи, на одной висит ноутбук, но на нём нортон под последними апдейтами и он молчит. На второй АДСЛ модем, и для этой сетевой карты отключена служба доступа к файлам.
Это его сильный конёк, я к тому что не помешает посмотреть логи от тудаСообщение от Ieronim
A зачем папки открыты в сеть ? По сети полно странствующих ботов, которые сначала сканируют на расшаренные ресурсы, а потом загружают туда всякую живность. Хотябы пароль на них стоит ?
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Нет, молчит - это совсем молчит, и в логах тоже. Сегодня уже и логи смотрел и тест по полной прогонял.
Что значит "зачем открыты"? Чтобы между десктопом и ноутом не надо было с флешкой бегать.
Папки расшарены, но в свойствах подключения к интернету отключена служба доступа к файлам. Правильно ли я понимаю, что папки снаружи нашей маленькой локалки должны быть вообще не видны?
А в каких папках: системных или же пользовательских?
Нортон Антивирус не стоит упоминать в разговоре о защитных програмах
хм, а за что ж вы его так невзлюбилиhttp://www.liutilities.com/products/...ry/taskswitch/
а вот этот файл прислать было бы неплохо.
O20 - Winlogon Notify: sunotify - C:\WINDOWS\SYSTEM32\sunotify.dll
sunotify отправил.
файл создаётся всегда в одних и тех же папках:
05.03.2007 18:28:51 C:\Documents and Settings\All Users\Äîêóìåí&# 242;û\setup.exe Win32/Medbot.HF
05.03.2007 17:55:50 D:\PICTURES\setup.exe Win32/Medbot.HF
Свежая нарезка из логов NOD32.
А проверьте этого Медбота на http://online.drweb.com/. Если опознаётся - качайте CureIt и проверяйте обе машины. Хуже не будет.
Ieronim
а именно эти папки расшарены?
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
Выковырил вирус из карантина, CureIt определяет его как Trojan.Downloader.18885. Вирус приходит и когда ноутбук выключен, так что тот не виноват. Сделал полную проверку CureIt - чисто.
@Ego1st
Действительно, открыты на запись только эти две папки, остальные только на чтение. Похоже вирус приходит по сети, и ведь я читал об этом в соседнем топике! Посыпаю голову пеплом и иду учить мат часть (= настаривать файрволл). Пока же закрыл всё для записи, надеюсь больше никто не проползет.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Ieronim, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
