-
Junior Member
- Вес репутации
- 61
инсайдер штормит по 25 (smtp) порту
Некоторое время станция была без антивирусной защиты. Сейчас вычистил, но при включения MS ISA proxy-agent, у коллеги циска алерт шлет, о шторме по smpt порту.
Проверял KAV, McAfee, Lawasoft Adware. В мое отсутствие, говорят, проверили майкрософтовским чекером.
OS Windows 2000 SP4
Посмотрите пожалуйста.
Последний раз редактировалось drongo; 03.10.2007 в 11:10.
Причина: По просьбе создателя логи удалил
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Много у Вас всего.. вредного наловлено.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('svchоst.exe','');
BC_DeleteFile('svchоst.exe');
DeleteFile('svchоst.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
это для удаления одного.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
QuarantineFile('C:\WINNT\Temp\startdrv.exe','');
QuarantineFile('svchоst.exe','');
QuarantineFile('C:\WINNT\system32\ntos.exe','');
QuarantineFile('C:\WINNT\asrkeyw.exe','');
DeleteFile('C:\WINNT\system32\ntos.exe');
DeleteFile('C:\WINNT\Temp\startdrv.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
BC_ImportDeletedList;
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINNT\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINNT\system32\drivers\runtime2.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\ntos.exe,
O4 - HKCU\..\Run: [NeroFilterCheck] svchמst.exe
O4 - HKCU\..\Run: [userinit] C:\WINNT\system32\ntos.exe
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
svch0st.exe скорее всего в папке system32 лежит, его нужно скопировать в ручную и нам прислать по правилам, так как вряд ли получиться скриптом, а затем удалить.Там их у вас должно быть несколько, один хороший , другой плохой(это у которого русское O )
Пароли меняйте и под админом впредь машину не оставлять.
Последний раз редактировалось drongo; 02.10.2007 в 11:41.
-
-
Признаков заражения больше нет.
Осталось почистить файл Hosts и разобраться с этим списком:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
(сообщите, что вам требуется, остальное отключим).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Спасибо. Часть сервисов, действительно, стОит позакрывать. Сам в состоянии сделать.
Удачи.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 0
- В ходе лечения вредоносные программы в карантинах не обнаружены
-