Junior Member
Вес репутации
59
netstat и SYN_SENT и smtp
С недавнего времени появилась постоянная сетевая активность, выполнил netstat в командной строке и вот что обнаружил
Код:
TCP GURU:1372 216.195.56.19:2516 SYN_SENT
TCP GURU:1376 mega4.z8.ru:http SYN_SENT
TCP GURU:1377 mega4.z8.ru:http SYN_SENT
TCP GURU:1378 mega4.z8.ru:http SYN_SENT
TCP GURU:1380 mega4.z8.ru:http SYN_SENT
TCP GURU:1382 mega4.z8.ru:http SYN_SENT
TCP GURU:1025 mega4.z8.ru:http SYN_SENT
TCP GURU:1030 mx1.rtl2.de:smtp TIME_WAIT
TCP GURU:1034 cst5.belwue.de:smtp TIME_WAIT
TCP GURU:1045 mega4.z8.ru:http SYN_SENT
TCP GURU:1045 anchor-relay-1.mail.thus.net:smtp TIME_WAIT
TCP GURU:1047 mx21.stratoserver.net:smtp TIME_WAIT
TCP GURU:1049 mailin.rzone.de:smtp TIME_WAIT
TCP GURU:1052 mail.g-bag.baycix.de:smtp TIME_WAIT
TCP GURU:1057 listen.asamnet.de:smtp TIME_WAIT
TCP GURU:1059 jacksonstops.netplan.co.uk:smtp TIME_WAIT
TCP GURU:1061 mail.arcor-ip.de:smtp TIME_WAIT
TCP GURU:1067 83.138.64.194:smtp TIME_WAIT
TCP GURU:1070 usmtp02.venaria.marelli.it:smtp TIME_WAIT
TCP GURU:1071 mail4.worldserver.net:smtp TIME_WAIT
TCP GURU:1077 mx-b.kundenserver.de:smtp TIME_WAIT
TCP GURU:1082 ngcobalt07.manitu.net:smtp TIME_WAIT
TCP GURU:1087 boys-only.de:smtp SYN_SENT
Первая мысль - завелась дрянь, лечил пару дней компутер, в итоге находил периодически какие то трояны, но итог один сетевая активность и SYN_SENT остались.
Ранее еще смотрел от какого процесса идет SYN_SENT, выяснилось что след идет к winlogon, так же откидывал сетку, после подключения сетки обратно и попытки помотретьс сетевое окружение дрянь активизировалась. Вот собсно и боримся.
Файлики прилагаются
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Удалите либо Симантека либо Есет: 2 АВ в одной системе не приносят пользы, только проблемы!!!
Пофиксите
Код:
O16 - DPF: {7d0314a8-7851-11d4-a3e1-00c04fa32518} -
O16 - DPF: {CAFECAFE-0013-0001-0009-ABCDEFABCDEF} -
O20 - Winlogon Notify: pmnnnoo - pmnnnoo.dll (file missing)
O20 - Winlogon Notify: MSSYCLM - C:\WINDOWS\
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\ServicePackFiles\winlogon.exe','');
QuarantineFile('pmnnnoo.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\sysfldr.dll','');
QuarantineFile('winntn32.dll','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Bog35.sys','');
DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('winntn32.dll');
DeleteFile('pmnnnoo.dll');
DeleteFile('C:\WINDOWS\ServicePackFiles\winlogon.exe');
StopService('Bog35');
DeleteService('Bog35');
DeleteFile('C:\WINDOWS\System32\drivers\Bog35.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки повторите логи. Карантин закачайте по правилам.
Последний раз редактировалось Rene-gad; 01.04.2008 в 17:24 .
Причина: Спасибо, Гриша :)
Junior Member
Вес репутации
59
Все сделал как сказали.
кстати, Симантек снес вчера, остался Есет, видимо какие то хвосты просто от Симантека остались
И еще, на настоящий момент сетевая активность левая пропала, netstat ничего левого вроде как не выдает :-)
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('WLCtrl32.dll');
DeleteFile('sysfldr.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пофиксить
Код:
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O20 - Winlogon Notify: MSSYCLM - C:\WINDOWS\
O20 - Winlogon Notify: pmnnnoo - C:\WINDOWS\
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
O20 - Winlogon Notify: winntn32 - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
Повторите логи.
Проверьте реестр.
Если не убиты ключи, содержащие
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysfldr
удалите их вручную. Потом повторите логи.
Junior Member
Вес репутации
59
вот
Вложения
выполните скрипт. ...
Код:
begin
BC_DeleteSvc('fwdrv.sys');
QuarantineFile('fwdrv.sys','');
DeleteFile('fwdrv.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите лог virusinfo_syscheck.zip
Junior Member
Вес репутации
59
Вложения
Junior Member
Вес репутации
59
Сообщение от
Гриша
Чисто.
Спасибо всем за помощь
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 5 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\drivers\\bog35.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.DownLoader.50037) c:\\windows\\system32\\sysfldr.dll - Trojan.Win32.Pakes.clw (DrWEB: Trojan.Proxy.3057) c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.ci (DrWEB: Trojan.DownLoad.5309)