Показано с 1 по 9 из 9.

Пропадает FTP (заявка № 35336)

  1. #1
    Junior Member Репутация
    Регистрация
    06.07.2008
    Сообщений
    5
    Вес репутации
    31

    Question Пропадает FTP

    Через 10-15 минут после старта системы становится невозможна работа по протоколу FTP и через HTTP прокси. Пинги на FTP и прокси сервера ходят нормально.
    Вложения Вложения
    Последний раз редактировалось lSnakel; 08.12.2008 в 18:16.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Закройте все открытые приложения, кроме АVZ . Отключите - ПК от интернета/локалки - Антивирус и Файрвол. Выполните скрипт @ avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Installer\{32230531-F971-468F-9BD4-7C3369F3468B}\iconVCAdvertised.exe','');
     QuarantineFile('C:\WINDOWS\system32\nrlnwayj.dll','');
     QuarantineFile('C:\WINDOWS\system32\msansspc.dll','');
     DeleteFile('C:\WINDOWS\system32\msansspc.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    executerepair(6);
    executerepair(8);
    executerepair(9);
    RebootWindows(true);
    end.
    Закачайте карантин по ссылке http://virusinfo.info/upload_virus.php?tid=35336 P.S. адреса в файле hosts сами прописывали ?
    Последний раз редактировалось drongo; 08.12.2008 в 18:31.

  4. #3
    Junior Member Репутация
    Регистрация
    06.07.2008
    Сообщений
    5
    Вес репутации
    31
    Цитата Сообщение от drongo Посмотреть сообщение
    Закройте все открытые приложения, кроме АVZ . Отключите - ПК от интернета/локалки - Антивирус и Файрвол. Выполните скрипт @ avz ...Закачайте карантин по ссылке http://virusinfo.info/upload_virus.php?tid=35336 P.S. адреса в файле hosts сами прописывали ?
    Сделано. Да, адреса в hosts прописывали сами.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    C:\WINDOWS\system32\nrlnwayj.dll -Net-Worm.Win32.Kido.i (kaspersky)

    во первых, удалим сей подарочек,
    скрипт в avz выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\nrlnwayj.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    executerepair(6);
    executerepair(8);
    executerepair(9);
    RebootWindows(true);
    end.
    во вторых, советую пройтись
    сканером в безопасном режиме, знающего данный червь.avptool например, только перед этим отключить nod32 и инет тоже .

    в системной папке поищите файл nqdeolmh.ilc , если найдётся - удалить. ( можно через avz)

    После всех процедур, новые логи сделать для контроля.
    Последний раз редактировалось drongo; 08.12.2008 в 19:40.

  6. #5
    Junior Member Репутация
    Регистрация
    06.07.2008
    Сообщений
    5
    Вес репутации
    31
    "Подарочек" удалил, nqdeolmh.ilc не нашел, запустил avptool в безопасном режиме, оставляю сканирование, убегаю домой, утром сообщу результаты.

  7. #6
    Junior Member Репутация
    Регистрация
    06.07.2008
    Сообщений
    5
    Вес репутации
    31
    Спасибо за помощь, вроде как лечится. Правда зараза успела расползтись по всей организации. Заметил что кроме system32 червь сидит в c:\Documents and Settings\NetworkService.NT Authority\Local Settings\Temporary Internet Files\Content.IE5\ бывает лежит прямо там, бывает создает папку с произвольным именем, имя файла в разных случаях разное, бывает повторяется у тех что мне попадались имя заканчивается на[1].jpeg.
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Ну да, на то он червь. Легче бороться, когда антивирус знает его, иначе можно до потери пульса лечить и заражаться вновь.
    Можно ограничить заражение, если все компьютеры будут под ограниченным пользователем работать, однако от нахождения червяка во временных файлах браузера- это не поможет.
    в сапорт нода надо писать, с прикреплённым экземпляром, может вам повезёт и добавят в этом году, хотя сомневаюсь
    в логах больше червя не видно, но это временно. можно ещё для повторного анализа сделать лог virusinfo_syscure.zip от специальной версии avz, она больше скрытых мест показывает.( у меня в подписи )
    Пора обновлять систему, и драйвера касперско почему-то работают. avptool активный или что-то ещё от касперского? не порядок.драйвера могут мешать ноду и наоборот.
    Последний раз редактировалось drongo; 09.12.2008 в 17:27.

  9. #8
    Junior Member Репутация
    Регистрация
    06.07.2008
    Сообщений
    5
    Вес репутации
    31
    Машины с WinXP SP3 вроде бы не поддаются заражению, потихоньку ставлю всем третий сервис пак.
    Забыл спросить, AVPTool ругается на кейлоггер в своем дистрибутиве, я так понимаю, это нормально?

    Раньше стоял Касперский, потом великое начальство решило что мы как специалисты ничего не стоим раз им пользуемся, в результате в организации был высажден десант в виде малолетнего кулхацкера, родственника кого то из начальников, который устанавливал и настраивал НОД, так что остатки Касперского могли и остаться. Вообще политики безопасности никакой, уххх, как бы я права юзверям порезал, вот только не в моей это компетенции, я только должен разгребать последствия чьей-то криворукости и безголовости...

    ЗЫ Сорри за оффтоп, наболело..
    .
    Последний раз редактировалось lSnakel; 09.12.2008 в 21:17.

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\nrlnwayj.dll - Net-Worm.Win32.Kido.i (DrWEB: Trojan.DownLoad.2561
      2. \\2008-12-08\\bcqr00003.dta - Net-Worm.Win32.Kido.i (DrWEB: Trojan.DownLoad.2561
      3. \\2008-12-08\\bcqr00004.dta - Net-Worm.Win32.Kido.i (DrWEB: Trojan.DownLoad.2561


  • Уважаемый(ая) lSnakel, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. пропадает коннект
      От СергейК в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 29.09.2010, 10:34
    2. Пропадает интернет
      От -=vvm=- в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.08.2010, 19:41
    3. пропадает интернет
      От moonfe в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.08.2010, 12:50
    4. Пропадает инет
      От Glaider в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 19.12.2009, 14:13
    5. Пропадает почта
      От dimon8033 в разделе Софт - общий
      Ответов: 8
      Последнее сообщение: 22.10.2009, 11:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00335 seconds with 21 queries