-
Гости
Здравствуйте!
На компьютере замечаю постаянно лишних гостей
C:\>net session
Компьютер Пользователь Тип клиента Ожидание открытия
-------------------------------------------------------------------------------
\\192.168.*.* MyPC1 Windows 2002 Serv 4 01:15:00
\\192.168.*.* MyPC2 Windows 2002 Serv 0 00:00:06
\\85.222.38.173 Windows 2000 2195 1 00:54:00
\\85.222.38.173 Windows 2000 2195 0 00:54:46
\\85.223.68.66 Windows 2000 2195 0 00:00:00
\\85.223.68.66 ADMINISTRATORO Windows 2000 2195 0 00:00:00
Команда выполнена успешно.
Постоянно новые коннекты с 85.*.*.* (диапазон к работе общего ничего не имеет) причем всегда 10, пользователи на сетевые шары зайти немог в силу ограничения на 10 юзеров.
П.С. Я в малваре не специалист, но как по мне на ботнет похоже
-
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('ip_fw');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ip_fw.sys','');
QuarantineFile('C:\Program Files\RhinoSoft.com\Serv-U\Serv-U.exe','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\ip_fw.sys');
DeleteFile('e:\aaf9f9cf37fbf9f2c1b415\wgasetup.exe');
DeleteFileMask('e:\aaf9f9cf37fbf9f2c1b415','*.*',true);
DeleteDirectory('e:\aaf9f9cf37fbf9f2c1b415');
DeleteService('ip_fw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('ip_fw');
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
[COLOR="Red"]Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- [URL="http://virusinfo.info/showthread.php?t=7660"]Очистите[/URL] файл [B]hosts[/B].
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
ip_fw - пакетный фильтр [url]http://wipfw.sourceforge.net/[/url]
-
Вы его сами ставили? Просто это довольно редкая программа для винды и с таким именем есть и довольно популярный зловред :)
Тогда выполните вот такой скрипт вместо предложенного моим коллегой, однако выполнить предложенные предписания
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ip_fw.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\60903922.sys','');
QuarantineFile('C:\Program Files\RhinoSoft.com\Serv-U\Serv-U.exe','');
DeleteFile('e:\aaf9f9cf37fbf9f2c1b415\wgasetup.exe');
DeleteFileMask('e:\aaf9f9cf37fbf9f2c1b415','*.*',true);
DeleteDirectory('e:\aaf9f9cf37fbf9f2c1b415');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RebootWindows(true);
end.
[/code]
P.S. это обнулит некоторые настройки системы, просто очень чудные у вас подозрения на руткит, без этого боюсь не обойтись.
Page generated in 0.01362 seconds with 10 queries