-
Junior Member
- Вес репутации
- 62
Рассылка спама
Очередной компьютер в сети подцепил заразу. Антивирус не помогает.
Опять обращаюсь к Вам за помощью.
Идёт рассылка спама на 25 порт.
Syscure проверил, но в safe mode, т.к. в нормальном режиме при проверке комп. перезагружается.
AVZ скрипт №3 так же выполнил в safe mode, по той же причине.
Помогите вылечить, Спасибо.
Последний раз редактировалось gss1234; 14.02.2008 в 12:16.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключить антивирус. Выполнить скрипт в Safe Mode:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Clearhostsfile;
QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
QuarantineFile('\SystemRoot\System32\drivers\protect.sys','');
QuarantineFile('Sku44.sys','');
BC_DeleteFile('\SystemRoot\System32\drivers\Sku44.sys');
BC_DeleteFile('\SystemRoot\System32\drivers\protect.sys');
BC_DeleteFile('C:\WINDOWS\System32\ntos.exe');
BC_DeleteSvc('protect');
BC_DeleteSvc('Sku44');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки загрузить карантин через ссылку вверху.
Сделать новый комплект логов.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Выполнил
Выполнил высылаю новые логи.
Последний раз редактировалось gss1234; 14.02.2008 в 12:16.
-
вот чему я удивляюсь, что вы не учитесь на прошлых ошибках. Опять комп оставили под админом , а нужно под ограниченным пользователем- тогда часть зловредов просто не смогут установиться.
Логи сделать в нормальном режиме.
-
-
Junior Member
- Вес репутации
- 62
Не получается
В нормальном режиме, при выполнении скрипта №3 в AVZ, опять перезагружается.
-
Тогда так :
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
1.
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\driveres\nwfilter.sys','');
QuarantineFile('C:\WINDOWS\tsitra801.exe','');
DeleteFile('C:\WINDOWS\System32\ntos.exe');
DeleteFile('C:\WINDOWS\tsitra801.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=13106
3. В безопасном режиме выполнить вот это: http://virusinfo.info/showthread.php?t=10387
Последний раз редактировалось drongo; 11.10.2007 в 12:32.
-
-
Junior Member
- Вес репутации
- 62
Все сделал.
Спасибо, всё сделал. Спам прекратился. Высылаю логи.
Последний раз редактировалось gss1234; 14.02.2008 в 12:16.
-
Больше ничего подозрительного в логах нет.
Только пофиксите строчку в HijackThis:
Код:
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
Вот что у вас плохо:
Код:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Необходимо установить SP2 + последующие обновления, и чем скорее тем лучше (потребуется повторная активация Windows). Затем отключить потенциально опасные вещи, за исключением реально используемых:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Новый спам
Теперь с другого компьютера полетело. Cureit, что-то находит, удаляет, но легче от этого не становится. Опять нужна помощь.
Последний раз редактировалось gss1234; 14.02.2008 в 12:16.
-
Для другого компьютера полагается новую тему открывать.
Ну да ладно, модераторы передвинут.
А пока выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
QuarantineFile('C:\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('c:\windows\temp\hd3.tmp','');
DeleteFile('c:\windows\temp\hd3.tmp');
DeleteFile('C:\Temp\winlogon.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
-
Ого - аж 7,5Mb! Если не сложно, пришлите отдельно эти файлы:
C:\WINDOWS\system32\ntkrnlpa.exe
C:\WINDOWS\system32\ntoskrnl.exe
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Отправил
Пришлось забирать файлы в безопасном режиме.
Добавлено через 9 минут
Всё равно рассылка продолжается.
Последний раз редактировалось gss1234; 11.10.2007 в 15:27.
Причина: Добавлено
-
Оба файла патченные: Trojan.Win32.Patched.au
Варианты действий:
1. Заменить файлы чистыми из дистрибутива.
2. Установить антивирус Касперского - он это добро лечить умеет.
Добавлено через 44 секунды
После этого сделайте новые логи.
Последний раз редактировалось Bratez; 11.10.2007 в 15:42.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось gss1234; 14.02.2008 в 12:16.
-
Хорошо. Я в таких случаях обычно говорю: кроме Symantec'a ничего вредоносного в логах не видно Надеюсь, проблем больше нет? Для профилактики неплохо бы устранить потенциальные уязвимости:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Скажите, что нужно / не нужно - сделаем скрипт для поправки.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Спасибо
Большое спасибо. Рассылка прекратилась. А чем Вам не по душе Symantec?
-
А чем Вам не по душе Symantec?
Ну как вам сказать... Где он был например, когда все это к вам пролезло? Зловреды-то уже давно знакомые. И таких примеров - много. Отсюда и сомнения (мягко говоря) в эффективности.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Что взамен?
Kaspersky Total Space Security на 60 комп. 4400 + 2861 * 60 = ~ 171 000 руб. А на след. год опять 2861 * 60 ?
А во втором офисе ещё 30 компов.
В итоге, Symantec дешевле, и судя по рейтингам идёт наравне с Kaspersky.
Кстати и Nod32 и DrWeb и Symantec, что-то находили, частично удаляли, но ничего не помогало. Kaspersky не пробовал, ничего сказать не могу.
-
Как вариант:
KAV 7.0 на 60 пк = 12 лицензий по 5 пк = 12 * 3200 = 38400 руб.
I am not young enough to know everything...
-