постоянно лезет куда то по смтп

Printable View

12.12.2007, 14:01
dirolwhite

Вложений: 3

постоянно лезет куда то по смтп

Стоит Аутпост
нашел [URL]http://virusinfo.info/showpost.php?p=156875&postcount=2[/URL]
примерно выкосил что было, но всё равно остались перехваченные функции
12.12.2007, 14:17
Bratez

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~2\toolbaru.dll (file missing)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Lnxs75', 'Start');
RebootWindows(true);
end.[/code]
После перезагрузки еще один:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\Lnxs75.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\Lnxs75.sys');
BC_ImportALL;
BC_DeleteSvc('Lnxs75');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
12.12.2007, 14:51
dirolwhite

хайджком пофиксил, но на скриптах перегружается сама машина
12.12.2007, 14:55
Bratez

Понял. Тогда выполните такой скрипт:
[code]
begin
BC_QrFile('C:\WINDOWS\system32\drivers\Lnxs75.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Lnxs75.sys');
BC_DeleteSvc('Lnxs75');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки карантин по правилам и новые логи - в студию.
12.12.2007, 15:38
dirolwhite

Вложений: 4

вот новые логи
12.12.2007, 15:46
rubin

Попробуем так:
[code]begin
RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','Lnxs75');
BC_DeleteSvc('Lnxs75');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\Lnxs75.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\Lnxs75.sys');
BC_ImportALL;
BC_DeleteSvc('Lnxs75');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте повторно лог virusinfo_syscheck...
Если не выйдет (компьютер неожиданно перезагрузится), то выполните оба скрипта в Safe mode и только после этого повторите лог...
12.12.2007, 15:57
dirolwhite

[SIZE=2]Ошибка в работе антируткита [Range check error], шаг [11]
а еще відал ошибку Failed to save data "DisplayName"
это выдал второй скрипт
[/SIZE]
12.12.2007, 16:03
rubin

А первый выполнился?
12.12.2007, 16:06
dirolwhite

да исполнился
кстати смотрю в аутпосте, активности по смтп не наблюдается
Спасибо)
12.12.2007, 16:10
rubin

Попробуйте:
[code]begin
BC_QrFile('C:\WINDOWS\system32\drivers\Lnxs75.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Lnxs75.sys');
BC_DeleteSvc('Lnxs75');
BC_Activate;
RebootWindows(true);
end.[/code]
Затем сделайте повторный лог virusinfo_syscheck