Junior Member
Вес репутации
58
netstat + smtp
Всем привет. Ситуация аналогичная, как и здесь - http://virusinfo.info/showthread.php...hlight=netstat
Лог netstat:
Код:
Active Connections
Proto Local Address Foreign Address State
TCP tigra:1028 216.195.62.91:1715 ESTABLISHED
TCP tigra:1984 sponts.teresto.net:smtp ESTABLISHED
TCP tigra:2236 www2.your-server.de:smtp ESTABLISHED
TCP tigra:2984 webmail.macnews.de:smtp TIME_WAIT
TCP tigra:3398 mail7.hsphere.cc:smtp TIME_WAIT
TCP tigra:3562 mail.rz-as.de:smtp TIME_WAIT
TCP tigra:3684 hermes.euregio-gateway.net:smtp TIME_WAIT
TCP tigra:3734 smtpbackup.mailwise.com:smtp TIME_WAIT
TCP tigra:3745 mailin.rzone.de:smtp TIME_WAIT
TCP tigra:3832 212.82.237.108:smtp TIME_WAIT
TCP tigra:3836 mx2.screenwork-net.de:smtp TIME_WAIT
TCP tigra:3864 ch2ssibme3.basel.usf.ihost.com:smtp TIME_WAIT
TCP tigra:3865 mailin.rzone.de:smtp TIME_WAIT
TCP tigra:3899 vgate.microplan.de:smtp TIME_WAIT
TCP tigra:3939 mailin.rzone.de:smtp TIME_WAIT
TCP tigra:3947 endor-neu.nw-team.de:smtp TIME_WAIT
TCP tigra:3993 dd10204.kasserver.com:smtp TIME_WAIT
TCP tigra:4035 mailin.rzone.de:smtp TIME_WAIT
TCP tigra:4042 static-ip-85-25-152-209.inaddr.intergenia.de:smt
p TIME_WAIT
TCP tigra:4065 dd16938.kasserver.com:smtp TIME_WAIT
TCP tigra:4078 mailin.rzone.de:smtp TIME_WAIT
TCP tigra:4084 www15.your-server.de:smtp ESTABLISHED
TCP tigra:4129 mail.batelco.com.bh:smtp TIME_WAIT
TCP tigra:4140 filter2-til.mf.surf.net:smtp TIME_WAIT
TCP tigra:4142 mailin.rzone.de:smtp TIME_WAIT
TCP tigra:4149 msg.gfz-potsdam.de:smtp TIME_WAIT
TCP tigra:4155 mailin.rzone.de:smtp TIME_WAIT
TCP tigra:4156 smtpin2.tal.de:smtp ESTABLISHED
TCP tigra:4193 as31.cnbg.de:smtp TIME_WAIT
TCP tigra:4205 mailrelay.netcologne.de:smtp TIME_WAIT
TCP tigra:4224 mail97.bayern.de:smtp SYN_SENT
TCP tigra:4225 mail98.bayern.de:smtp SYN_SENT
TCP tigra:4236 h-213.61.14.92.host.de.colt.net:smtp TIME_WAIT
TCP tigra:4252 mailin.rzone.de:smtp TIME_WAIT
TCP tigra:4255 mailrelay2.d3.net:smtp TIME_WAIT
TCP tigra:4260 129.187.90.59:smtp SYN_SENT
TCP tigra:4275 mail.kdo.de:smtp TIME_WAIT
TCP tigra:4287 dd3136.kasserver.com:smtp ESTABLISHED
TCP tigra:4302 mail.rz-as.de:smtp TIME_WAIT
TCP tigra:4312 assp01.lrnc.net:smtp TIME_WAIT
TCP tigra:4331 spooler.redcondor.net:smtp SYN_SENT
TCP tigra:4346 leo-club-wuppertal.de:smtp TIME_WAIT
TCP tigra:4349 hermes.euregio-gateway.net:smtp TIME_WAIT
TCP tigra:4381 mailin.rzone.de:smtp TIME_WAIT
TCP tigra:4414 mx5.rz.RWTH-Aachen.DE:smtp TIME_WAIT
TCP tigra:4446 mailin.rzone.de:smtp TIME_WAIT
TCP tigra:4472 vgate.microplan.de:smtp TIME_WAIT
TCP tigra:4480 mailr-k.nerc.ac.uk:smtp TIME_WAIT
TCP tigra:4492 webmail.macnews.de:smtp ESTABLISHED
TCP tigra:4495 s15196472.rootmaster.info:smtp ESTABLISHED
TCP tigra:4500 mailin.rzone.de:smtp TIME_WAIT
^C
Коннекты идут от svchost.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Tad25\0000', 'CSConfigFlags', '1');
QuarantineFile('C:\WINDOWS\system32\Drivers\Tad25.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Tad25.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=26634 , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил.
Junior Member
Вес репутации
58
Вложения
Выполните скрипт AVZ в таком виде:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
bc_DeleteSvc('tcpsr');
BC_DeleteSvc('Tad25');
DeleteFile('C:\WINDOWS\System32\Drivers\Tad25.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Tad25.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки, повторите логи, начиная с п. 10 правил, еще раз, пожалуйста. Паразитный траффик прекратился?
Junior Member
Вес репутации
58
Паразитный траффик прекратился?
Да прекратился. По крайней мере " TCP tigra:1028 216.195.62.91:1715 ESTABLISHED" - этого соединения, как я понял управляющего для данного бота - больше не наблюдается.
Вложения
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
В логах чисто,жалобы есть?
Junior Member
Вес репутации
58
Прошу сильно не бить. К сожалению не успел воспользоваться последним советом (уезжал в командировку). Пока меня не было компьютер опять что-то словил, подозреваю что - тоже самое.
Вложения
Пофиксить
Код:
F2 - REG:system.ini: UserInit=userinit.exe,C:\Documents and Settings\bob\jrtah.exe \s
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\gmj.exe','');
DeleteFile('C:\WINDOWS\system32\gmj.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
Junior Member
Вес репутации
58
Вложения
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Плохого не видно,жалобы есть?
Junior Member
Вес репутации
58
Выполнил все твики. Жалоб нет.
Спасибо.
Для справки:
gmj.exe-Backdoor.Win32.Arin.a
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 7 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\gmj.exe - Backdoor.Win32.Arin.b (DrWEB: BackDoor.BlackHole.2403)