Добрый день.
Firewall на сервере блокирует исходящие пакеты на различные адреса в интернет по 137(UDP) порту.
Подозрение на данную машину.
Printable View
Добрый день.
Firewall на сервере блокирует исходящие пакеты на различные адреса в интернет по 137(UDP) порту.
Подозрение на данную машину.
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\sergey\Application Data\ezpinst.exe','');
QuarantineFile('C:\Documents and Settings\sergey\Local Settings\Temporary Internet Files\Content.IE5\KRC5U46J\Download_dvd2psp_regno[1].exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\Documents and Settings\sergey\Local Settings\Temporary Internet Files\Content.IE5\KRC5U46J\Download_dvd2psp_regno[1].exe');
DeleteFile('C:\Documents and Settings\sergey\Application Data\ezpinst.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Выполнил сказанное
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\weicxa.com','');
DeleteFile('E:\weicxa.com');
DeleteFile('c:\weicxa.com');
DeleteFile('C:\Documents and Settings\sergey\Рабочий стол\Download_dvd2psp_regno.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи начиная с пункта 10
Выполнил
в логах ничего зловредного ....
какие-то проблемы остались ?
Добрый день.
В логах продолжаю видеть запросы по 137 при любом обращении к внешней машине.
Логи выложил в предыдущей теме:
[URL]http://virusinfo.info/showthread.php?t=22581[/URL]
Спасибо.
NetBIOS отключите ...
Где ?
[url]http://virusinfo.info/showthread.php?t=4243[/url]
После сделанного попала сеть.
Пропали все расшары.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 21 минуту[/I][/B][/color][/size]
Что ещё посоветуете ?
а что советовать 137 порт этим и занимается ....
или - или ...
у вас есть сете вые шары , а это и есть активность по 137 ...
В логе очень много подобного:
IP1 IP2 Protocol port port status
89.113.x.x 84.53.x.x Udp 1025 137 BLOCKED
Постоянно с IP1(внешняя сетевая) идут запросы на IP2(различные адреса в интернет)
запросы похоже на порт ...
с таким же успехом вы можете сказать - " не хочу чтобы шел дождь" ...
поможет ?
запросы снаружи .... и с этим вам ничего не поделать ... можно конечно съездить по адресам и "разобраться" :) в принципе то Saint-Petersburg ...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.agd[/B] (DrWEB: Trojan.Proxy.1824)[*] e:\\autorun.inf - [B]Worm.Win32.AutoRun.dcz[/B] (DrWEB: Win32.HLLW.Autoruner.1742)[/LIST][/LIST]