сетевая активность мимо Outpost

**fudder** · 18.08.2007, 16:12

пк в локальной сети за NAT, значек подключения в трее горит постоянно, исходящих пакетов в 3 раза больше чем входящих, с помощью AVZ, Ad-Aware, KAV 5 pro удалил кучу троянов...больше ничего не нашел, сетевая активность не изменилась. Outpost 3.0 не показывает эту штуку, в сетевой активности 0, другие приложения исправно видит. Железка на которой поднят NAT показывает соединения SMTP с этой машинки по портам 48392, 48391,48390...48ХХХ с MX yandex и rambler и соединения HTTP по портам 1732...17ХХ с кучей разных адресов.....вторые сутки никак не поймаю

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Muzzle** · 18.08.2007, 16:16

Читаем правила и делаем логи.
http://virusinfo.info/showthread.php?t=1235

**fudder** · 18.08.2007, 16:28

уважаемые, может что не так сделал? так переделаю...очень нужна Ваша помощь

**Bratez** · 18.08.2007, 16:36

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('Xxe36.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пришлите карантин согласно приложению 3 правил.

**fudder** · 18.08.2007, 16:56

карантин выслал с помощью ссылки в шапке

**Bratez** · 18.08.2007, 17:00

В AVZ сделайте: Файл - Стандартные скрипты - #1 - Выполнить.
Затем Сервис - Поиск файлов на диске - ищем Xxe36.sys.
В случае успеха - пришлите по правилам.

**fudder** · 18.08.2007, 17:06

скрипт выполнил, файл не нашел

**Bratez** · 18.08.2007, 17:25

Сделайте лог, как написано тут:
http://virusinfo.info/showthread.php?t=10387
(в нормальном режиме)

**fudder** · 18.08.2007, 17:31

готово

**fudder** · 18.08.2007, 17:54

ребята, надежда вообще есть? может искать "убедительные" для начальства доводы чтобы форматнуть жесткий?

**Bratez** · 18.08.2007, 17:59

Если честно - случай трудный, пока не понятно. Хотелось бы найти решение, но процесс может затянуться. Так что решайте сами - форматировать или ждать.

**fudder** · 18.08.2007, 18:08

а формат жесткого диска решит? я честно даже механизм работы этой штуки не представляю, а сколько Вы сегодня сможете посвятить времени моему вопросу? сколько мне еще можно понадеятся?
и спасибо огромное за оперативное участие, если хоть чем-то могу сам помочь Вашему проекту...с удовольствием

**Bratez** · 18.08.2007, 18:19

Я сегодня уже почти сплю - у нас 01:30 ночи...

Формат решит конечно, важно сразу настроить все что касается сетевой безопасности, чтобы опять не влезло что-нибудь.

**fudder** · 18.08.2007, 18:29

большущее Вам спасибо Bratez и Muzzle что потратили свое время (Muzzle - классный ник, сорри за оффтоп) значит не перевелись у нас хорошие люди...удачи и спокойной Вам ночи

**Rene-gad** · 18.08.2007, 18:45

Сообщение от fudder

а формат жесткого диска решит?

решит, если СП2 в оффлайне установите (если у Вас Виндос-Диск уже с СП2) - забудьте мой пост

**fudder** · 18.08.2007, 18:51

Rene-gad, у меня СП2 дистрибутив, а форматировать можно прямо на этой машинке при загрузке с CD? или fdisk применить для верности?

**Rene-gad** · 18.08.2007, 19:01

Сообщение от fudder

Rene-gadформатировать можно прямо на этой машинке при загрузке с CD? или fdisk применить для верности?

не надо никаких особых методов применять: запускаетсь с CD, удаляете системную partition, делаете новую, форматируете в NTFS и устанавливаете систему.

**fudder** · 18.08.2007, 19:03

ну хоть какой-то позитив за уикенд) спасибо

**vaber** · 18.08.2007, 19:18

Не стоит форматировать диск. Этого руткита мы удалим. Сейчас попробую составить скрипт для удаления сего чуда, если не получиться - будем удалять руками