-
Junior Member
- Вес репутации
- 58
идет большое количесто пакетов
Добрый день такая проблема, идет большое количество пакетов на локальной машине. на серваке Winroute
Kerio Administration Console Log [12/Sep/2008 10:54:30] (3003) Connection limit of 150 connections reached for host 192.168.111.154.
ну и так до бесконечности...
Последний раз редактировалось tr0nik; 03.09.2009 в 10:29.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте IceSword , поищите и скопируйте файлы:
Код:
C:\WINDOWS\system32\Drivers\Wmd25.sys
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O20 - Winlogon Notify: datmps - datmps.dll (file missing)
O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
O20 - Winlogon Notify: WinNt32 - WinNt32.dll (file missing)
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\eclips\LOCALS~1\Temp\0.EXE','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Wmd25.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Glo26.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mrn32.sys','');
DeleteService('Wmd25');
DeleteService('Glo26');
DeleteService('Mrn32');
DeleteFile('C:\WINDOWS\System32\Drivers\Mrn32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Glo26.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Wmd25.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Wmd25');
BC_DeleteSvc('Glo26');
BC_DeleteSvc('Mrn32');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
Прикрепляю логи
карантин выслал
Последний раз редактировалось tr0nik; 03.09.2009 в 10:29.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('seclogonTermService');
QuarantineFile('C:\DOCUME~1\eclips\LOCALS~1\Temp\8\svchost.exe','');
QuarantineFile('C:\DOCUME~1\eclips\LOCALS~1\Temp\0.EXE','');
DeleteFile('C:\DOCUME~1\eclips\LOCALS~1\Temp\8\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('seclogonTermService');
BC_QrSvc('CryptSvc');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 58
карантин отправился???
Файл сохранён как080912_062400_virus_48ca5150d82b9.zipРазмер файла836310MD510c9fc19e3449d1dc03306d9f5077a62Файл закачан, спасибо!
логи прикрепил
Последний раз редактировалось tr0nik; 03.09.2009 в 10:29.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('CryptSvc');
DeleteFile('C:\DOCUME~1\eclips\LOCALS~1\Temp\0.EXE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('CryptSvc');
BC_Activate;
RebootWindows(true);
end.
Повторите логи м п.10 правил...
-
-
Junior Member
- Вес репутации
- 58
скрипт выполнился перезагрузился
логи п.10
Последний раз редактировалось tr0nik; 03.09.2009 в 10:29.
-
Чисто,жалобы есть?
Установите SP3...
-
-
Junior Member
- Вес репутации
- 58
покеты пока не идут.
пока не известно в понедельник посмотрю на winroute
там ище одна машина так же флудит, тогда в понедельник создам др тему.
Спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 30
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\wmd25.sys - Rootkit.Win32.Qandr.je
-