Проблема с IP6FW, Приперезагрузке в катлоге %System%temp каждый раз появляется новый ехе файл, есть трафик по SMPT протоколу.
Как с ним бороться ?
Заранее спасибо!
Проблема с IP6FW, Приперезагрузке в катлоге %System%temp каждый раз появляется новый ехе файл, есть трафик по SMPT протоколу.
Как с ним бороться ?
Заранее спасибо!
Профиксить в HijackThis:
в AVZ выполнить скрипт:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O1 - Hosts: 127.0.0.2 updates.drweb.com O1 - Hosts: 127.0.0.2 kaspersky.ru
После перезагрузки загрузить карантин через ссылку вверху темыКод:begin BC_QrFile('C:\WINDOWS\system32\ntos.exe'); BC_QrFile('C:\WINDOWS\Temp\startdrv.exe'); BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); BC_QrFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys'); BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('Ip6Fw'); BC_Activate; SysCleanAddFile('C:\WINDOWS\Temp\startdrv.exe'); ExecuteSysClean; RebootWindows(true); end.
(см Приложение 3 Правил)
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Карантин загрузил!
Выполнить скрипт:
Повторить скрипт из сообщения №2 в Safe ModeКод:begin ClearQuarantine; end.
Если что-то попадет в карантин, то загрузить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполните скрипт в AVZ:
Пофиксите в HijackThis:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\TEMP\ZXE873.EXE',''); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Новый карантин загрузите по правилам.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe, O1 - Hosts: 127.0.0.2 updates.drweb.com O1 - Hosts: 127.0.0.2 kaspersky.ru
Сообщите, нужно ли что-то из этого (остальное поправим):
Код:>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet) >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений) >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
Это Guard TrendScanв каталоге%System%Temp ехе файл присутствует
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
QuarantineFile('C:\WINDOWS\TEMP\ZXE873.EXE',') ' Надо ли это делать Если это Trend Micro ???
DeleteFile('C:\WINDOWS\system32\ntos.exe') Такого файла нет
Со службами я сам разберусь, Спасибо!
ОК, тогда после фикса сделайте контрольные логи, начиная с п.10 правил.
I am not young enough to know everything...
Контрольные логи
Есть ощущение,что стало чисто.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Что-то новенькое появилось. Поищите через AVZ вот это чудо:
C:\WINDOWS\TEMP\CGACFA.EXE
и пришлите по правилам.
Добавлено через 40 секунд
Или это тоже Тренд Микро?
Последний раз редактировалось Bratez; 05.09.2007 в 17:36. Причина: Добавлено
I am not young enough to know everything...
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 33
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) us1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.