Показано с 1 по 18 из 18.

I need help (заявка № 18225)

  1. #1
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    53
    Вес репутации
    33

    Thumbs up I need help

    Всем здрасти
    Ситуация следующая , провайдер пожаловался что идет с нашего IP спам почты, в сети офисной стоит сервер на 2003 винде, с программным обеспечением TraficInspector по статистике видно что с одной из тачек идет большое количество пакетов (исходящих) , статистика реального времени показала что с этой тачки идет большой поток на 25 порт и сотни IP адреса.
    Комп проверился Касперским WorkSt были найдены вирусы и удалены, потом комп проверился AVZ были найдены и удалены вирусы, следом комп проверился AntiVIr AVIRA и тоже были найдены какие то вирусы, после включения тачки обратно в интернет статистика реального времени показала что опять идет спам на 25 порт.
    В общем такая вот проблемка...
    Заранее благодарен за помощь.
    Последний раз редактировалось Xaocc; 20.07.2009 в 16:56.

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    скачайте найти Ryks67.sys - force delete
    затем выполните скрипт авз ...
    Код:
    begin
     BC_DeleteSvc('Ryks67');
     BC_Activate;
     RebootWindows(true);
    end.
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    53
    Вес репутации
    33
    Вопросик, а логи все опять повторить ?
    Просто там скан диска С идет часа 2, по скольку очень много информации на диске...

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Сделайте начиная с п.10 правил.

    Добавлено через 2 минуты

    Пришлите по правилам вот это чудо:
    C:\WINDOWS\system32\anti_troj.exe
    Последний раз редактировалось Bratez; 18.02.2008 в 12:50. Причина: Добавлено
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    53
    Вес репутации
    33
    Без AVZGuard тачка постоянно перезагружается если делаются скрипты.
    "скачайте найти Ryks67.sys - force delete" скачал IceSword при переключении по функциям тачка сама перезагружается если не включен AVZGuard. (даже с AVZGuard рестартиться )
    Такое чувство что вирь взял тачку под контроль

    Добавлено через 8 минут

    Так и не понял зачем нужна программа IceSword ?
    Последний раз редактировалось Xaocc; 18.02.2008 в 13:05. Причина: Добавлено

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    грузитесь с диска ... и удаляйте файл ...

  8. #7
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    53
    Вес репутации
    33
    Вот логи после удаления Ryks67.sys
    Последний раз редактировалось Xaocc; 20.07.2009 в 16:56.

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Ryks67.sys живее всех живых
    Видимо придется (временно) деинсталлировать Аутпост, он мешает лечению.
    Старую версию Касперского тоже долой.
    Дальше сейчас напишу...
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    53
    Вес репутации
    33
    Хех... ок бду ждать

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните такой скрипт:
    Код:
    begin
     SearchRootkit(false, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Ryks67', 'Start');
     BC_QrFile('C:\WINDOWS\System32\drivers\Ryks67.sys');
     BC_DeleteSvc('Ryks67');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Ryks67.sys');
     RebootWindows(true); 
    end.
    и сделайте новый лог syscheck.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    53
    Вес репутации
    33
    Вот новый лог после выполнения скрипта

    PS: Скрипт выполнялся при включенном AVZGuard иначе, тачка перезагружалась до момента выполнения всего скрипта.
    Последний раз редактировалось Xaocc; 20.07.2009 в 16:56.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    в логах чисто .... авз с аутпостом не дружит ...

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Ryks67.sys должен был попасть в карантин.
    Если он там есть, пришлите по правилам, вдруг новая модификация.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    53
    Вес репутации
    33
    В карантине все чисто...

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    В смысле пусто? Ну ладно...

    Отключите восстановление системы!
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\anti_troj.exe','');
     QuarantineFile('c:\windows\system32\msru.exe','');
     DeleteFile('c:\windows\system32\msru.exe');
     DeleteFile('C:\WINDOWS\system32\anti_troj.exe');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(16);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил, если будет не пуст.
    Откройте в AVZ Менеджер ActiveSetup и удалите строчку с упоминанием msru.exe.

    Рекомендуется отключить все что вам не нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
    >> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
    >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    53
    Вес репутации
    33
    В общем сделал все как сказали, в карантине пусто !!!
    Вот логи последние.
    В карантине появилось сегодняшнее число но сам карантин пуст 0.0 Kb.
    Последний раз редактировалось Xaocc; 20.07.2009 в 16:56.

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Больше ничего плохого в логах нет.

    Все же удалите старого Каспера, он там явно лишний.
    Или удалите их с Авирой обоих и поставьте KAV 7.0.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    53
    Вес репутации
    33
    Все, подрубил тачку к внешнему интерфейсу Логи пока чистые... фуф !
    Bratez огромное спасибо, респект за то, что есть такие люди которые могут помочь с такими нелегкими проблемами.
    Так же спасибо за этот портал помощи и всем кто прикладывает к нему свое время, голову и время !

  • Уважаемый(ая) Xaocc, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00204 seconds with 19 queries