-
Junior Member
- Вес репутации
- 58
SMTP запросы+предупреждение об изменение файлов
Добрый день!
В установленном Firewall Agnitum Outpost часто появляются smtp запросы от процесса n/a на разные адреса.
Firewall выдает предупрждение о том что была предотвращена попытка изменения файлов запускаемых приложений. Антивирусы ничего найти не могут.
Установлен NOD32 v.4.0.417
Скачивал бесплатные утилиты Касперского и Др.Веба (запускал в безопасном режиме) - они тоже ничего не нашли.
Прилагаю файлы исследований
Последний раз редактировалось Rene-gad; 11.08.2009 в 10:34.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-Пофиксите
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINXP\System32\userinit.exe
После перезагрузки:
- Сделайте лог GMER
-
-
Junior Member
- Вес репутации
- 58
Пофиксил, перезагрузился, запустил Gmer, сделал скан и лог.
-
-
-
Junior Member
- Вес репутации
- 58
-
Ничего зловредного не видно.
-
-
Junior Member
- Вес репутации
- 58
Да, но постоянно запросы smtp от процесса n/a, предупрждения при запуске лююбой программы, что была предотвращена попытка изменения файла, а также пропала вкладка безопасность только на папке с антивирусом NOD32 и Firewall`ом Agnitum Outpost и я ничего ни удалить ни изменить в этой папке не могу, в безопасном режиме все нормально и вкладка безопасность появляется. Есть компьютеры в локальной сети - у них тоже с папкой Firewall и антивирус те же проблемы.
-
Скачайте special avz по ссылке в подписи и сделайте им логи по правилам. Базы обновлять не надо.
-
-
Junior Member
- Вес репутации
- 58
Логи
Уважаемый Rene-gad, Вы про меня не забыли?
PS. Извиняюсь что надоедаю, просто я в офисе где находится зараженный компьютер буду еще 1 час и потом только в понедельник.
Последний раз редактировалось Rene-gad; 13.08.2009 в 13:19.
-
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
QuarantineFile('C:\MDaemon\WebAdmin\WebAdmin.exe','');
DeleteFile('C:\Documents and Settings\server\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Добавлено через 1 минуту
Сообщение от
SergSC
Уважаемый Rene-gad, Вы про меня не забыли?.
Уважаемый SergSC, мы обрабатываем заявки в порядке поступления
Последний раз редактировалось Rene-gad; 13.08.2009 в 13:20.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 58
1. SMTP запросы пропали
2. Microsoft_DC запросы появились
3. Предупрждение от Firewall "Предотвращена попытка изменения файлов" осталось
4. Т.к. заходил на зараженный компьютер удаленно через RAdmin, забыл отключить ESET антивирус и он не дал файл закинуть в карантин AVZ, а сразу его сам себе в карантин забрал, я его оттуда извлек и отправил как просили (соответственно заархивировав с паролем).
5. Заметил, что когда в интернете работаешь браузер время от времени посылает пакеты на сайты :
google-analytics.com
google.com
b.scorecardresearch.com
cr-tools.clients.google.com
googleads.g.doubleclick.net
pagead2.googlesyndication.com
Я их прописал в файле hosts в папке \system32\drivers\etc с ip 127.0.0.1
-
Сообщение от
SergSC
Я их прописал в файле hosts в папке \system32\drivers\etc с ip 127.0.0.1
Не надо в файле hosts ничего прописывать, оставьте там только 127.0.0.1 localhost , все остальное - фтопку
Можно скриптом:
Код:
begin
ClearHostsFile;
RebootWindows(true);
end.
Microsoft_DC - это, извините, кто?
Сделайте по возможности логи по правилам в локальной сессии (не через Радмин и Ко.).
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Rene-gad
Microsoft_DC - это, извините, кто?
Это 445 порт.
Логи я делал в локальной сессии, я скрипт удаленно запускал.
Добавлено через 23 минуты
Заметил, что SMTP запросы на разные IP опять появляются
Последний раз редактировалось SergSC; 17.08.2009 в 08:07.
Причина: Добавлено
-
- Сделайте лог GMER
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-