Conficker и последствия
Здравствуйте!
Проблема следующая - сеть была заражена Conficker'ом, после лечения всех компов с отключением от сети и установки обновлений вроде ситуация нормализовалась, NOD32 перестал ругаться и постоянно находить новые зараженные файлы, но возникла проблема - была отмечена сетевая активность машин, в частности - попытки коннекта на 95.211.10.16:17509 и попытки рассылки по SMTP на внешние почтовые серверы. хочу разобраться, что за гадость сидит в компе, ибо NOD32 ничего не находит. вот логи:
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполнить скрипт:
Сделать заново логи после перезагрузки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('digiwet.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\ethfomes.sys',''); QuarantineFile('C:\WINDOWS\system32\adptifz.exe',''); DeleteFile('digiwet.dll'); DeleteService('ethfomes'); DeleteFile('C:\WINDOWS\system32\drivers\ethfomes.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=47689
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
карантин загрузил
машина перестала ломиться по сети, но перехваченные функции остались
вот новые логи:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('ClipSrvBrowser'); QuarantineFile('C:\WINDOWS\system32\adptifz.exe',''); DeleteFile('C:\WINDOWS\system32\adptifz.exe'); DeleteService('ClipSrvBrowser'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('ClipSrvBrowser'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
отключил от инета, выпонил скрипт, в карантин нового ничего не попало, сам карантин закачал.
NOD32 остановил, сеть отключил, темпы почистил, сделал логи
Жалобы есть?
- Установите IE 8
- Обновите JavaRE
Жалоб нет, спасибо!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\ethfomes.sys - Backdoor.Win32.IEbooot.a ( DrWEB: Trojan.Spambot.4438, BitDefender: Trojan.Rlsloupa.A )
Уважаемый(ая) jun-junk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
