Показано с 1 по 15 из 15.

SMTP запросы+предупреждение об изменение файлов (заявка № 51773)

  1. #1
    Junior Member Репутация
    Регистрация
    19.06.2008
    Сообщений
    14
    Вес репутации
    31

    Exclamation SMTP запросы+предупреждение об изменение файлов

    Добрый день!
    В установленном Firewall Agnitum Outpost часто появляются smtp запросы от процесса n/a на разные адреса.
    Firewall выдает предупрждение о том что была предотвращена попытка изменения файлов запускаемых приложений. Антивирусы ничего найти не могут.
    Установлен NOD32 v.4.0.417
    Скачивал бесплатные утилиты Касперского и Др.Веба (запускал в безопасном режиме) - они тоже ничего не нашли.

    Прилагаю файлы исследований
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 11.08.2009 в 10:34.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    -Пофиксите
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=C:\WINXP\System32\userinit.exe
    После перезагрузки:
    - Сделайте лог GMER

  4. #3
    Junior Member Репутация
    Регистрация
    19.06.2008
    Сообщений
    14
    Вес репутации
    31
    Пофиксил, перезагрузился, запустил Gmer, сделал скан и лог.
    Вложения Вложения
    • Тип файла: log Gmer.log (391.1 Кб, 4 просмотров)

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    - Сделайте лог mbr.exe

  6. #5
    Junior Member Репутация
    Регистрация
    19.06.2008
    Сообщений
    14
    Вес репутации
    31
    Лог
    Вложения Вложения
    • Тип файла: log mbr.log (195 байт, 5 просмотров)

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Ничего зловредного не видно.

  8. #7
    Junior Member Репутация
    Регистрация
    19.06.2008
    Сообщений
    14
    Вес репутации
    31
    Да, но постоянно запросы smtp от процесса n/a, предупрждения при запуске лююбой программы, что была предотвращена попытка изменения файла, а также пропала вкладка безопасность только на папке с антивирусом NOD32 и Firewall`ом Agnitum Outpost и я ничего ни удалить ни изменить в этой папке не могу, в безопасном режиме все нормально и вкладка безопасность появляется. Есть компьютеры в локальной сети - у них тоже с папкой Firewall и антивирус те же проблемы.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Скачайте special avz по ссылке в подписи и сделайте им логи по правилам. Базы обновлять не надо.

  10. #9
    Junior Member Репутация
    Регистрация
    19.06.2008
    Сообщений
    14
    Вес репутации
    31
    Логи

    Уважаемый Rene-gad, Вы про меня не забыли?
    PS. Извиняюсь что надоедаю, просто я в офисе где находится зараженный компьютер буду еще 1 час и потом только в понедельник.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 13.08.2009 в 13:19.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    - Выполните скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
     QuarantineFile('C:\MDaemon\WebAdmin\WebAdmin.exe','');
     DeleteFile('C:\Documents and Settings\server\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

    Добавлено через 1 минуту

    Цитата Сообщение от SergSC Посмотреть сообщение
    Уважаемый Rene-gad, Вы про меня не забыли?.
    Уважаемый SergSC, мы обрабатываем заявки в порядке поступления
    Последний раз редактировалось Rene-gad; 13.08.2009 в 13:20. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    19.06.2008
    Сообщений
    14
    Вес репутации
    31
    1. SMTP запросы пропали
    2. Microsoft_DC запросы появились
    3. Предупрждение от Firewall "Предотвращена попытка изменения файлов" осталось
    4. Т.к. заходил на зараженный компьютер удаленно через RAdmin, забыл отключить ESET антивирус и он не дал файл закинуть в карантин AVZ, а сразу его сам себе в карантин забрал, я его оттуда извлек и отправил как просили (соответственно заархивировав с паролем).
    5. Заметил, что когда в интернете работаешь браузер время от времени посылает пакеты на сайты :
    google-analytics.com
    google.com
    b.scorecardresearch.com
    cr-tools.clients.google.com
    googleads.g.doubleclick.net
    pagead2.googlesyndication.com

    Я их прописал в файле hosts в папке \system32\drivers\etc с ip 127.0.0.1

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от SergSC Посмотреть сообщение
    Я их прописал в файле hosts в папке \system32\drivers\etc с ip 127.0.0.1
    Не надо в файле hosts ничего прописывать, оставьте там только 127.0.0.1 localhost , все остальное - фтопку
    Можно скриптом:
    Код:
    begin
    ClearHostsFile;
    RebootWindows(true);
    end.
    Microsoft_DC - это, извините, кто?

    Сделайте по возможности логи по правилам в локальной сессии (не через Радмин и Ко.).

  14. #13
    Junior Member Репутация
    Регистрация
    19.06.2008
    Сообщений
    14
    Вес репутации
    31
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Microsoft_DC - это, извините, кто?
    Это 445 порт.
    Логи я делал в локальной сессии, я скрипт удаленно запускал.

    Добавлено через 23 минуты

    Заметил, что SMTP запросы на разные IP опять появляются
    Последний раз редактировалось SergSC; 17.08.2009 в 08:07. Причина: Добавлено

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    - Сделайте лог GMER
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,516
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) SergSC, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 17
      Последнее сообщение: 22.02.2009, 06:47
    2. Ответов: 13
      Последнее сообщение: 14.01.2008, 09:07
    3. Ответов: 0
      Последнее сообщение: 27.10.2007, 09:26

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01123 seconds with 21 queries