Проблема с IP6FW, Приперезагрузке в катлоге %System%temp каждый раз появляется новый ехе файл, есть трафик по SMPT протоколу.
Как с ним бороться ?
Заранее спасибо!
Printable View
Проблема с IP6FW, Приперезагрузке в катлоге %System%temp каждый раз появляется новый ехе файл, есть трафик по SMPT протоколу.
Как с ним бороться ?
Заранее спасибо!
Профиксить в HijackThis:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O1 - Hosts: 127.0.0.2 updates.drweb.com
O1 - Hosts: 127.0.0.2 kaspersky.ru
[/CODE]
в AVZ выполнить скрипт:
[CODE]begin
BC_QrFile('C:\WINDOWS\system32\ntos.exe');
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_QrFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_Activate;
SysCleanAddFile('C:\WINDOWS\Temp\startdrv.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После перезагрузки загрузить карантин через ссылку вверху темы
(см Приложение 3 Правил)
Сделать новые логи.
Карантин загрузил!
Выполнить скрипт:
[CODE]
begin
ClearQuarantine;
end.[/CODE]
Повторить скрипт из сообщения №2 в Safe Mode
Если что-то попадет в карантин, то загрузить.
[quote=PavelA;132015]Выполнить скрипт:
[code]
begin
ClearQuarantine;
end.[/code]
Повторить скрипт из сообщения №2 в Safe Mode
Если что-то попадет в карантин, то загрузить.[/quote]
Выполнил в Safe Mode Логи прилагаются, Файл карантина послал
Трафик SMTP пропал, но в каталоге%System%Temp ехе файл присутствует!
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\ZXE873.EXE','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O1 - Hosts: 127.0.0.2 updates.drweb.com
O1 - Hosts: 127.0.0.2 kaspersky.ru
[/code]
Новый карантин загрузите по правилам.
Сообщите, нужно ли что-то из этого (остальное поправим):
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
[QUOTE]в каталоге%System%Temp ехе файл присутствует[/QUOTE]
Это Guard TrendScan
QuarantineFile('C:\WINDOWS\TEMP\ZXE873.EXE',') ' Надо ли это делать Если это Trend Micro ???
DeleteFile('C:\WINDOWS\system32\ntos.exe') Такого файла нет
Со службами я сам разберусь, Спасибо!
ОК, тогда после фикса сделайте контрольные логи, начиная с п.10 правил.
Контрольные логи
Есть ощущение,что стало чисто.
Что-то новенькое появилось. Поищите через AVZ вот это чудо:
[B]C:\WINDOWS\TEMP\CGACFA.EXE[/B]
и пришлите по правилам.
[size="1"][color="#666686"][B][I]Добавлено через 40 секунд[/I][/B][/color][/size]
Или это тоже Тренд Микро?
[QUOTE=Bratez;132060]
[B]C:\WINDOWS\TEMP\CGACFA.EXE[/B]
Или это тоже Тренд Микро?[/QUOTE]
Если иконка "собачка", то это он.
[quote=Bratez;132060]Что-то новенькое появилось. Поищите через AVZ вот это чудо:
[B]C:\WINDOWS\TEMP\CGACFA.EXE[/B]
и пришлите по правилам.
[SIZE=1][COLOR=#666686][B][I]Добавлено через 40 секунд[/I][/B][/COLOR][/SIZE]
Или это тоже Тренд Микро?[/quote]
Это тренд микро, он при каждом запуске делает для себя новый exe-шник.
Спасибо за помощь!!!
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,[URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]