Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Цикличная smtp-рассылка, возможно руткит. (заявка № 12283)

  1. #1
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    17
    Вес репутации
    39

    Thumbs up Цикличная smtp-рассылка, возможно руткит.

    Стоит Outpost 4.0.1025.7828, DrWeb 4.33 с обновленными базами.
    Постоянно идет smtp-рассылка с процесса systems.exe, создаю правило через файервол на запрет исходящих smtp-пакетов, начинается беспорядочный перебор адресов и портов. ДрВеб ничего не находит.
    Вложения Вложения
    Последний раз редактировалось ArChIv@rIu$; 08.09.2007 в 22:08.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    virusinfo_cure.zip - удалите из темы карантин .... нужен virusinfo_syscure.zip

    Добавлено через 5 минут

    профиксите .....
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
    O2 - BHO: RGWIE Class - {D4D5806E-EA2C-45b2-972D-8BE237697B87} - RGWIE.dll (file missing)
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
    O4 - HKLM\..\Run: [Microsoft Windows] C:\WINDOWS\system32\Kernel.exe
    выполните скрипт.....
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\Kernel.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\Kernel.exe');         
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил....
    повторите логи....
    Последний раз редактировалось V_Bond; 08.09.2007 в 22:57. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    17
    Вес репутации
    39
    При выполнении скрипта вылетает ошибка "Failed to set data for DisplayName"
    В карантин ничего не попадает

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    переделал скрипт .... пробуйте запустить ... если не получится ... сделайте принтскрин ошибки....

  6. #5
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    17
    Вес репутации
    39
    Цитата Сообщение от V_Bond Посмотреть сообщение
    переделал скрипт .... пробуйте запустить ... если не получится ... сделайте принтскрин ошибки....
    Сделал. Прислал, я так понял нужны были 3 файла
    Kernel.exe, ntos.exe, cpadvai.dll, но в карантине почему-то всего 2 файла с расширением .dta и 6 файлов с расширением .ini

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    у меня сегодня очень плохо с экстросенсорикой , зачем вы удалили из карантина файлы(?), пришлите его как есть, без редактирования....
    Последний раз редактировалось V_Bond; 08.09.2007 в 23:28.

  8. #7
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    17
    Вес репутации
    39
    Цитата Сообщение от V_Bond Посмотреть сообщение
    у меня сегодня очень плохо с экстросенсорикой , зачем вы удалили из карантина файлы(?), пришлите его как есть, без редактирования....
    Прошу прощения, файлы эти (карантин) я грохнул (это серьезно?)
    Логи повторил...
    Файл virusinfo_syscure.zip у меня не создается. При выполнении скрипта "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" у меня создается файл virusinfo_cure.zip
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт ....
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    профиксите ....
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    пришлите карантин согласно приложения 3 правил....
    повторите логи....

  10. #9
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    17
    Вес репутации
    39
    при выполнениие скирпта - ошибка
    Изображения Изображения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    попробуйте выполнить скрипт в сафе моде...

  12. #11
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    17
    Вес репутации
    39
    В сэйф моде скрипт прошел, но видимо с ошибками, не успел прочитать, комп перегрузился. В карантин попали только ini-файлы
    Файл так назвал (virusinfo_cure1.zip), потому что общий файл был 800 Кб и есть еще второй, но я превысил максимальный объем вложений, так что не знаю как быть

    Запрошенные файлы присылать по ссылке, что вверху темы!
    Пришлите, как положено.
    Вложения Вложения
    Последний раз редактировалось pig; 09.09.2007 в 02:55. Причина: Удалил карантины

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    и логи AVZ повторите ..

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.02.2007
    Адрес
    Минск, Беларусь
    Сообщений
    569
    Вес репутации
    564
    Стоит выполнить еще такой скрипт:

    Код:
    begin
    BC_QrFile('C:\WINDOWS\system32:lzx32.sys');
    BC_DeleteFile('C:\WINDOWS\system32:lzx32.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    anti-malware.ru

  15. #14
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    17
    Вес репутации
    39
    Скрипт выполнил, логи приложил. Только объясните, пожалуйста, почему в правилах при выполнении пункта 8 упоминается файл virusinfo_syscure.zip, а реально формируется virusinfo_cure.zip
    Вложения Вложения
    Последний раз редактировалось ArChIv@rIu$; 09.09.2007 в 14:44.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    почему в правилах при выполнении пункта 8 упоминается файл virusinfo_syscure.zip, а реально формируется virusinfo_cure.zip
    Первый - это лог, а второй - карантин, который в тему прикреплять нельзя!
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    17
    Вес репутации
    39
    Цитата Сообщение от Bratez Посмотреть сообщение
    Первый - это лог, а второй - карантин, который в тему прикреплять нельзя!
    Понял, удалил карантин, в логах интересности остались? Похоже последний скрипт помог, Аутпост больше не регистрирует smtp-пакетов.
    Как в дальнейшем уберечся от спамботов? Есть методы? Кроме отключения модема

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Больше ничего подозрительного нет.
    Осталось разобраться с этим:
    Код:
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: разрешен автоматический вход в систему
    Что используется - сообщите, остальное поправим.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    17
    Вес репутации
    39
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: разрешен автоматический вход в систему

    Кроме автоматического входа в систему не используется ничего (комп домашний), единственное, я не знаю, что такое SSDPSRV

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Тогда выполните следующий скрипт:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    I am not young enough to know everything...

  21. #20
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    17
    Вес репутации
    39
    Все сделал, пока полет нормльный. БОЛЬШОЕ СПАСИБО.
    Скрипт Сбора неопознанных и подозрительных выполнил, файл залил.
    Еще раз спасибо.

    З.Ы. Если речь идет о работе. Сервер 2003, он же терминал-сервер, на нем же скуль вертится. Как обезопасить от подобной заразы машини в ЛВС, и сервер в том числе?
    Заранее спасибо.
    Последний раз редактировалось ArChIv@rIu$; 09.09.2007 в 17:50.

  • Уважаемый(ая) ArChIv@rIu$, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 8
      Последнее сообщение: 22.02.2009, 06:19
    2. рассылка спама по SMTP протоколу
      От P-Usoltsev в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 31.10.2008, 17:51
    3. массовая рассылка по SMTP
      От WakeUp в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.05.2008, 15:16
    4. рассылка по smtp
      От WakeUp в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.05.2008, 14:50
    5. Рассылка по smtp при подключении к интернет
      От Andryxa в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 07.11.2007, 08:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01397 seconds with 17 queries