С компьютера идет рассылка на 25 порт. Помогите справиться. Логи высылаю.
Спасибо.
Printable View
С компьютера идет рассылка на 25 порт. Помогите справиться. Логи высылаю.
Спасибо.
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
DeleteFile('C:\WINDOWS\system32\DefLib.sys');
BC_DeleteFile('C:\WINDOWS\system32\DefLib.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки.
Прислать карантин согласно приложения 3 правил .
[url]http://virusinfo.info/showthread.php?t=10387[/url] - сделать в защищ. режиме
Еще один скрипт вдогонку:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Temp\winlogon.exe','');
DeleteFile('C:\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После этого отправляйте карантин.
Скрипты выполнил. Рассылка прекратилась. Карантин выслал.
Делайте новые логи, как в первом сообщении.
tcpip и ntoskrnl чистые.
Высылаю новые логи
Все чисто.
В качестве полезного совета - посмотрите этот список:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Что не используется, желательно отключить.
Зараза вычищена.