Показано с 1 по 17 из 17.

Беспорядочные соединения 2. (заявка № 12360)

  1. #1
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    21
    Вес репутации
    61

    Exclamation Беспорядочные соединения 2.

    Здравствуйте еще раз!
    Дошли руки до остальных компьютеров из сети.
    Ранее был проверен основной компьютер - шлюз, (оказался чистым)
    через который кто-то из нашей сети открывает соединения на порту 25 (так сказал провайдер).
    Теперь отрываю новую тему, данные с компа, вызывающего наибольшие подозрения, в данный момент интернет ему перекрыт,
    (на момент скриптов открывался).
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    СП1 уже давно устарел. Нужно ставить СП2.

    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\System32\kprof','');
    QuarantineFile('C:\WINDOWS\System32\poof','');
    DeleteFile('C:\WINDOWS\System32\kprof');
    DeleteFile('C:\WINDOWS\System32\poof');
    BC_ImportAll;
    BC_DeleteSvc('kprof');
    BC_DeleteSvc('poof');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить карантин.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Эх, опередили...

    После скрипта сделайте новые логи.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    21
    Вес репутации
    61
    Продолжаем разговор.
    Вложения Вложения
    Последний раз редактировалось pig; 13.09.2007 в 19:21. Причина: Удалил карантин

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Карантин отсюда надо убрать. Здесь ему не место.

    Добавлено через 7 минут

    kprof - Hacktool.Rootkit (по Симантеку)

    Профиксить:
    Код:
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\arm32.dll (file missing)
    Последний раз редактировалось PavelA; 13.09.2007 в 19:19. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Файл сохранён как 070913_102158_virus_46e955963c2cd.zip
    Размер файла 20483
    MD5 f7128dcd3b18c85d833d5a41f860299f

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Нужно и след. карантин тоже загрузить. Там от Питона что-то интересное попало.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Активного заражения больше нет.
    Вот это посмотрите:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> разрешена потенциально опасная служба TermService (Службы терминалов)
    >> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> разрешена потенциально опасная служба Alerter (Оповещатель)
    >> разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    Что не используется - надо поправить.

    Добавлено через 1 минуту

    И обязательно "фиксить" это:
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    т.е. ставить SP2 + последующие обновления,
    чем скорее, тем лучше.
    Последний раз редактировалось Bratez; 14.09.2007 в 02:23. Причина: Добавлено
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    21
    Вес репутации
    61
    Цитата Сообщение от Bratez Посмотреть сообщение
    Активного заражения больше нет.
    А из чего это следует и надо ли еще что-то делать?
    Цитата Сообщение от Bratez Посмотреть сообщение
    И обязательно "фиксить" это:
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Не нашел я этогого в Хиджеке.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    +100

    Это сервиспак от Майкрософт. Фиксится путем захода на сайт Microsoft Update, либо поиском СД с ним.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    21
    Вес репутации
    61
    Грешно смеятся над пользователями больных компьютеров.

    Мне с этим компом какие-нибудь еще манипуляции производить?

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Мне грустно, а не смешно.
    Если СП2 не будет установлен, то скорее всего через пару недель или ранее Вы будете снова лечится в этом разделе.
    В соседней теме так и произошло. См. про то, что было с Not
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    21
    Вес репутации
    61
    Цитата Сообщение от Bratez Посмотреть сообщение
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    А как его отключить?

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Можно через Панель управления -- администрирование -- упр-е компьютером -- отключить запись Гостя (Guest).
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    21
    Вес репутации
    61
    Отключил.
    А СП2 ставить боюсь ибо у меня 1С лицензионная.
    Если после установки СП она слетит меня сотрудники прибьют.
    2 KIS6.0 на шлюзе и на этом компе надолго оттянут агонию?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от VladYur Посмотреть сообщение
    А СП2 ставить боюсь ибо у меня 1С лицензионная.
    Если после установки СП она слетит меня сотрудники прибьют.
    Не должна слететь. Тем более - лицензионная. Значит, и ключ есть, и дистрибутив. Конфигурацию и базы можно заархивировать во избежание. Даже не можно, а нужно, и не разово, а ежедневно - мало ли что.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\kprof - Trojan-Proxy.Win32.Wopla.ag (DrWEB: Trojan.NtRootKit.219)
      2. c:\\windows\\system32\\poof - Trojan-Proxy.Win32.Wopla.ag (DrWEB: Trojan.NtRootKit.21


  • Уважаемый(ая) VladYur, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 19.01.2012, 01:49
    2. services.exe гонит беспорядочный трафик
      От Alexey_75 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 19.02.2010, 16:26
    3. Беспорядочные перезагрузки
      От Irion в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 27.05.2009, 23:46
    4. Ответов: 3
      Последнее сообщение: 08.05.2009, 00:17
    5. Беспорядочные соединения.
      От VladYur в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 02:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01320 seconds with 20 queries