spam фильтр режет почту, хотя может и не оно...

[JohnDoe]

Письма с этого компа стали резатся spam фильтрами. Поверил. Нашел троян доунлоадер. Логи прилагаются.

[zerocorporated]

1.В avz выполнить скрипт:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('%WinDir%\Temp\startdrv.exe','');
 QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
 QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
 QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
 DeleteFile('%Windir%\Temp\startdrv.exe');
 DeleteFile('%Windir%\system32\drivers\runtime2.sys');
 DeleteFile('%Windir%\system32\drivers\runtime.sys');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

Компьютер перезагрузится.

2.Выслать карантин согласно приложению 3 правил

3.Повторить логи.

[JohnDoe]

карантин выслал, там оказалось только %Windir%\system32\drivers\ip6fw.sys
Логи сейчас повторю.

[JohnDoe]

логи. страно что ip6fw.sys опять вылез. я забыл отключить монитор нода и он выкнул предупреждение и прибил этот файл.

[zerocorporated]

1.В avz выполнить скрипт:

Код:

begin
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

[JohnDoe]

новые логи. Отключил монитор nod32. Что то нашлось в System Restore... отправилось в карантин. Потом систем ресторе пояистил руками

[zerocorporated]

Для чистки отключите восстановление системы, перезагрузитесь и включите(если нужно)

В логах не видно ничего вредоносного.
Но с этим нужно разобраться:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Что из этого нужно ?

[JohnDoe]

спасибо. как то я проглядел это дело. вот не найду где
>> Безопасность: к ПК разрешен доступ анонимного пользователя
учетка Гость отключена.

[zerocorporated]

Этот скрипт все ненужное отключит(Если есть локальная сеть то первую строчку после begin уберите)

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.

[JohnDoe]

zerocorporated
Спасибо. Я уже ручками поотключал.

[zerocorporated]

Рекомендуется прочитать книгу "Универсальная защита для Windows ME – Vista" и вы можете оказать нам помощь в пополнение базы безопасных файлов.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\drivers\\ip6fw.sys - Trojan-Downloader.Win32.Agent.acl (DrWEB: Trojan.NtRootKit.319)