-
Junior Member
- Вес репутации
- 53
множественные smtp соединения
Здравствуйте
обнаружил сабж - создаются пачками несанкционированные соединения от имени системных процессов. Обновляющимся нодом убил все что нашлось, поставил все обновления безопасности ХР. Проверил в защищеном режиме АВПтулом, все чистенько. Сделал логи по правилам, посмотрите пожалста, помогите прибить зловреда и если что лишние в реестре
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('E:\Documents and Settings\pancho\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
QuarantineFile('E:\WINDOWS\system32\Drivers\nncctei.sys','');
DeleteFile('E:\WINDOWS\system32\Drivers\nncctei.sys');
BC_DeleteFile('E:\WINDOWS\system32\Drivers\nncctei.sys');
DeleteFile('E:\Documents and Settings\pancho\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=64412
4. Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Спасибо за быстрый ответ. После выполнения скрипта п.2 комп ушел на перезагрузку и не "не вернулся" После кнопочного рестарта вышел на меню с предложением запуска в безопасном режиме, я запустил в обычно и получил синий экран:
......
DRIVER_IRQL_NOT_LESS_OR_EQUEL
......
Technical information:
*** STOP: 0x000000D1 (0xF8937BE8, 0x00000002, 0x00000000, 0xF8937BE
Запускать в защищенном и продолжать пп. 3 и 4?
-
Если в обычном режиме загрузится не выходит, то грузимся в безопасном и далее:
1. Качаем avast!antirootkit tool
2. Запускаем и производим сканирование
3. После проверки выбираем "Fix now" и rebooting...
4. Пробуем загрузку в обычном режиме
5. Повторяем лог virusinfo_syscheck и прикладываем лог работы антируткита.
Добавлено через 45 минут
Если результат будет отрицательным:
1. Скачайте Vba32 Rescue по следующим ссылкам:
ftp://anti-virus.by/pub/vbarescue-beta.iso
ftp://vba.ok.by/vba/vbarescue-beta.iso
2. Запишите образ на болванку
3. Загрузитесь с диска восстановления
4. Подключите флэшку
5. Выберите в меню Midnight Commander (с ним удобнее работать)
6. Найдите и скопируйте на нее файл:
E:\WINDOWS\system32\Drivers\nncctei.sys
(разделы жесткого диска ищите в /mnt)
7. Удалите файл с диска
8. Попробуйте загрузится в обычном режиме и повторите лог virusinfo_syscheck.
Последний раз редактировалось Aleksandra; 20.12.2009 в 19:44.
Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Результат с авастом:
После трехкратных попыток сканирования при обнаружении зловреда получал:
Avast! Antirootkit - обнаружена ошибка. Приложение будет закрыто....
даю обрезанный(по причине оч большого размера оригинала) лог аваста - можно сказать что это за зловред такой?
буду пробовать дальнейшие инструкции.
-
В обычном режиме загрузится по-прежнему не можете?
Сообщение от
Pancho69
можно сказать что это за зловред такой?
Это руткит. Печально, антируткит c ним не справился.
Аналогичная тема http://virusinfo.info/showthread.php?t=64426
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Удаление E:\WINDOWS\system32\Drivers\nncctei.sys прошло успешно, загрузился в обычном режиме, симптомы исчезли, даю лог virusinfo_syscheck. Спасибо. Нужно ли сделать что то еще?
-
Ничего зловредного в логах не увидела.
Сообщение от
Pancho69
Нужно ли сделать что то еще?
1. Вы мне файлик на флэшку не скопировали? Он мне очень нужен.
2. Выполните п.3 из моего первого поста в этой теме и закачайте карантин по ссылке.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
1. Вы мне файлик на флэшку не скопировали? Он мне очень нужен
Сохранил конечно, я так понимаю его надо зазиповать и отправить через указанную Вами форму?
Выполните п.3 из моего первого поста в этой теме и закачайте карантин по ссылке.
Выполнил, но карантин по ссылке не качнулся -
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
-
Сообщение от
Pancho69
Сохранил конечно, я так понимаю его надо зазиповать и отправить через указанную Вами форму?
Да, сожмите его с паролем virus и закачайте по той же ссылке. Спасибо.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Отправил, а можно определить откуда или хотябы когда он ко мне попал?
Карантин не получается отправить
-
Сообщение от
Pancho69
а можно определить откуда или хотябы когда он ко мне попал?
К сожалению нет.
Сообщение от
Pancho69
Карантин не получается отправить
quarantine.zip отправьте мне на aleksandra.sedakova[antispam]gmail.com
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \nncctei.sys - Trojan.Win32.Buzus.cutu ( DrWEB: Trojan.Packed.600, BitDefender: Backdoor.Rustock.NGK, AVAST4: Win32:Rootkit-gen [Rtk] )
-