Системные атаки

Printable View

04.03.2006, 13:56
Pikasso

Вложений: 3

Системные атаки

Вобщем у меня стоит каспер и на нём включена постоянная защита. Сегодня сделал полную проверку компа и он нашёл троян Trojan.Win32.Mutech.B и успешно его удалил, но: теперь примерно раз в пол минуты он регистрирует системные атаки:
[QUOTE]Атака по протоколу TCP с адреса 89.138.109.127 на локальный порт 445 (иногда на 135) была успешно отражена.[/QUOTE]
Кроме этого если отключен инет, но раз в минут 10 появляеться запрос на подключение к ip: 255.85.117.165
Логи присобачил. Помогите пожалуйста :'-(
Заранее благодарен.
04.03.2006, 14:38
RiC

[QUOTE=Pikasso]Вобщем у меня стоит каспер и на нём включена постоянная защита. Сегодня сделал полную проверку компа и он нашёл троян Trojan.Win32.Mutech.B и успешно его удалил, но: теперь примерно раз в пол минуты он регистрирует системные атаки:[QUOTE=Pikasso]

Это вирусняк в гости снаружи стучится, если надоели отключите детектор атак в фаерволе.

Кроме этого если отключен инет, но раз в минут 10 появляеться запрос на подключение к ip: 255.85.117.165
Логи присобачил. Помогите пожалуйста :'-(
Заранее благодарен.[/QUOTE]

Пришлите посмотреть что такое -
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\GSICON.EXE
C:\Program Files\WinLock\winlock.exe
Скорее всего безопасное,
но последний мне честно говоря не нравится.
04.03.2006, 14:59
Pikasso

[quote=RiC]
C:\WINDOWS\System32\dslagent.exe - Это модем
C:\WINDOWS\System32\GSICON.EXE - тоже модем
C:\Program Files\WinLock\winlock.exe - прога для ограничения доступа к компу (чтоб брат не лазил :P )[/quote]

[QUOTE]Это вирусняк в гости снаружи стучится, если надоели отключите детектор атак в фаерволе.
[/QUOTE]
А кроме этого ничего нельзя сделать ?
04.03.2006, 15:21
HATTIFNATTOR

В AVZ файл -выполнить скрипт - выполните block_rootkit.avz из папки AVZ\Script. Далее, не выходя из AVZ поищите и пришлите:

%system32%\DRIVERS\netpt.sys
C:\WINDOWS\System32\wbem\wmiprvi.dll

После необходима перезагрузка.
04.03.2006, 17:46
Pikasso

Вложений: 1

Выполнил скрипт, лог проверки прикрепил сюда.
%system32%\DRIVERS\netpt.sys нашёл, куда его прислать ? (я так понимаю вы запрещаете прикреплять такие файлы к ответу ?)
А вот C:\WINDOWS\System32\wbem\wmiprvi.dll я не нашёл, искал не только в System32\wbem но и на всём компе и тоже ничего не нашёл :embarasse
04.03.2006, 18:08
HATTIFNATTOR

[url]https://virusinfo.info/upload_virus.php[/url]
Загрузите файл сюда (в правилах все про это есть)
04.03.2006, 18:28
Pikasso

[quote=HATTIFNATTOR][URL="https://virusinfo.info/upload_virus.php"]https://virusinfo.info/upload_virus.php[/URL]
Загрузите файл сюда (в правилах все про это есть)[/quote]
Извиняюсь за невнимательность.
Выслал, [QUOTE]Файл сохранён какvirus_4409b1bfd6310.zip[/QUOTE]
04.03.2006, 18:49
HATTIFNATTOR

netpt.sys - not-a-virus:Monitor.Win32.NetMon.a

Выполните из AVZ скрипт block_rootkit.avz, далее, не выходя из AVZ - AVZ GUARD -> Включить AVZGUARD. Файл - отложенное удаление - удалить с:\windows\system32\drivers\netpt.sys Закройте AVZ, не отключая Guard, перезагрузитесь и сделайте лог AVZ из п.11 правил.
04.03.2006, 19:19
Pikasso

Вложений: 1

Всё сделал, лог тоже прикрепил.
04.03.2006, 19:23
Pikasso

Подключен к инету уже 12 минут и пока ни одной атаки, спасибо большое за помощь
04.03.2006, 19:35
HATTIFNATTOR

К netpt.sys .dll-ка должна прилагаться ,видимо KAV ее и удалил, по крайней мере в логе ничего подозрительного не видно.

Если не сложно, сделайте это:
[url]http://virusinfo.info/index.php?page=upload_clean[/url]