В сети три машины, трафик расчитанный на месяц уходит за пару часов, помогите! Это логи сервера.
В сети три машины, трафик расчитанный на месяц уходит за пару часов, помогите! Это логи сервера.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
После перезагрузки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys',''); QuarantineFile('\SystemRoot\system32\DRIVERS\Ip6Fw.sys',''); BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys'); DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys'); DeleteFile('\SystemRoot\system32\drivers\runtime2.sys'); BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
А может прислать логи с остальных двух машин ?
Правила кто будет исполнять ? как присылать карантин ? читай, ответ в правилах. Последний раз удаляю прикреплённый карантин, затем нарушение
Последний раз редактировалось drongo; 30.08.2007 в 14:50.
А что там с файлами карантина ? Дошли ?
В карантине:
runtime2.sys - Rootkit.Win32.Agent.ey
Ip6Fw.sys - Rootkit.Win32.Agent.dp
Сделайте новые логи, проверим результат выполнения скрипта.
I am not young enough to know everything...
Всеравно какието красные надписи в AVZ есть.
профиксите ....
выполните скрипт ....Код:O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
повторите логи ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); SysCleanAddFile('C:\WINDOWS\Temp\startdrv.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
В дополнение:
Рекомендую отключить следующие службы (если не используются):
и поставьте свежую версию антивируса, сейчас актуальна 7-я.Код:O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\system32\tlntsvr.exe
I am not young enough to know everything...
Высылаю новые логи, а может выслать логи другой машины?
в логах чисто ....
логи с другой машины ... в другую тему ... для порядка...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\ip6fw.sys - Rootkit.Win32.Agent.dp (DrWEB: Trojan.NtRootKit.319)
- c:\\windows\\system32\\drivers\\runtime2.sys - Rootkit.Win32.Agent.ey (DrWEB: Trojan.NtRootKit.321)
Уважаемый(ая) Дмитрий, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.