Показано с 1 по 9 из 9.

Маскировка процесса, подозрительный http трафик. (заявка № 13116)

  1. #1
    Junior Member Репутация
    Регистрация
    11.10.2007
    Сообщений
    5
    Вес репутации
    61

    Thumbs up Маскировка процесса, подозрительный http трафик.

    Nod32 удалил несколько вирусов, но трафик остался.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\csrss.exe','');
     DeleteFile('C:\WINDOWS\csrss.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
    BC_ImportALL;
    BC_DeleteSvc('msupdate');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    Перезагрузитесь и сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    11.10.2007
    Сообщений
    5
    Вес репутации
    61
    Цитата Сообщение от Bratez Посмотреть сообщение
    Пофиксите в HijackThis:
    [code]
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
    Это пропало после выполнения скрипта.

  5. #4
    Junior Member Репутация
    Регистрация
    11.10.2007
    Сообщений
    5
    Вес репутации
    61
    Карантин заслал.
    Логи после выполнения скрипта:
    Вложения Вложения

  6. #5
    Junior Member Репутация
    Регистрация
    11.10.2007
    Сообщений
    5
    Вес репутации
    61
    Трафик исчез, респект и ОГРОМНОЕ СПАСИБО!

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах все в порядке.
    192.168.0.8 - есть подозрение, что там то же, что было у вас.
    I am not young enough to know everything...

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Из этого что не нужно:

    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

    Можно закрыть скриптом.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    11.10.2007
    Сообщений
    5
    Вес репутации
    61
    Цитата Сообщение от Bratez Посмотреть сообщение
    В логах все в порядке.
    192.168.0.8 - есть подозрение, что там то же, что было у вас.
    Побежал проверять!

    Добавлено через 2 минуты

    Цитата Сообщение от PavelA Посмотреть сообщение
    Из этого что не нужно:

    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

    Можно закрыть скриптом.
    Поступил проще - отнял права администратора. Все беды, блин, от этого... Спасибо!
    Последний раз редактировалось harley; 11.10.2007 в 17:59. Причина: Добавлено

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\mssrv32.exe - Trojan-Downloader.Win32.Dirat.w (DrWEB: Trojan.MulDrop.8347)


  • Уважаемый(ая) harley, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Маскировка процесса
      От shai2459 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.10.2010, 16:54
    2. Маскировка процесса
      От vova-n в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.09.2010, 12:34
    3. Маскировка процесса
      От Alex_freelancer в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.02.2010, 19:19
    4. маскировка процесса svchost
      От Fireflyer в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 02:15
    5. Маскировка процесса
      От Светлана Русина в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 31.10.2007, 15:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01656 seconds with 18 queries