Показано с 1 по 9 из 9.

Похоже стандартный набор:Deflib, winlogon...беспокоит вход\исх. трафик! (заявка № 15470)

  1. #1
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    5
    Вес репутации
    37

    Exclamation Похоже стандартный набор:Deflib, winlogon...беспокоит вход\исх. трафик!

    Здравствуйте!
    очень надеюсь на вашу помощь!
    В свойствах подключения каждый день виден большой обьем трафика..(~100мб) причем и исходящего примерно в таком же объеме. Давно было подозрение на руткит пересылающий спам..после прочтения этого сайта утвердившееся...Стоит антивирус НОД32 3,0,566,0 (как его выгружать незнаю поэтому во время проверок он был не отключен)Он находил Deflib.sys и ipv6fv, но они появляются снова..winlogon.exe в локальной временной папке юзера визуально не видно.. ...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\epfwtdir.sys','');
     QuarantineFile('C:\WINDOWS\system32\DefLib.sys','');
     QuarantineFile('c:\docume~1\xcube\locals~1\temp\winlogon.exe','');
     DeleteFile('c:\docume~1\xcube\locals~1\temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\DefLib.sys');
     BC_ImportAll;
     BC_QrFile('C:\WINDOWS\system32\DRIVERS\epfwtdir.sys');
     BC_DeleteFile('C:\WINDOWS\system32\DefLib.sys');
     BC_DeleteSvc('Deflib');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=15470

    2.Пофиксить в HijackThis следующие строчки, если останутся ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\XCube\LOCALS~1\Temp\winlogon.exe
    3. Установите AVZPM (http://virusinfo.info/showthread.php?t=12316)
    4. Сделайте новые логи для проверки

  4. #3
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    5
    Вес репутации
    37
    Цитата Сообщение от rubin Посмотреть сообщение
    2.Пофиксить в HijackThis следующие строчки, если останутся ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\XCube\LOCALS~1\Temp\winlogon.exe
    такой строчки не осталось...трафик как шел так и идет...нужно присылать новые логи? ставить AVZPM?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Пока ничего не надо. Ещё один подозреваемый на исследовании.

  6. #5
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    5
    Вес репутации
    37
    на всякий случай логи..
    еще беспокоит что АВЗ при стандартной проверке пишет:
    "6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    Проверка отключена пользователем"
    ...если проблема с трафиком то, наверное, порты как раз слушать и нужно??

    p.s. AVZPM включил, потом сделал логи.


    OMG! IMPOSSBL!! вроде бы никто больше ничего через меня не качает!!
    Благодарен от всей души!! Большое спасибо!!

    осталось только 2 вопроса:
    1)в сетке есть еще компьютер с такой же заразой..(там сетевое подключение отключено конечно) - можно ли там применить такой же скрипт?? или мучить вас новыми логами?
    2)можете дать ссылку или коротко рассказать как не заразиться этими руткитами, основные пути их распространения я так понял не такие же как у "обычных" вирусов..это уязвимости браузера? или все таки зараженные скрипты сайтов?

    Еще раз большое спасибо!!!
    Вложения Вложения
    Последний раз редактировалось XCube; 19.12.2007 в 20:28.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    1. Лучше прислать новые логи в новую тему
    2. Регулярно обновлять антивирус, ставить все заплатки от Microsoft, работать под ограниченной записью, а не под администраторской

    winlogon.exe - SpamTool.Win32.Agent.ee

    Добавлено через 1 час 4 минуты

    epfwtdir.sys - чистый

    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

    Что из вышеуказанного не нужно?

    >> Заблокирован пункт меню Справка и техподдержка

    А это сами делали?
    Последний раз редактировалось rubin; 19.12.2007 в 22:15. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    5
    Вес репутации
    37
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

    1.кроме этого все не нужно...
    2. да, не нравится справка и ресент докс в меню..

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\xcube\\locals~1\\temp\\winlogon.exe - Trojan-Mailfinder.Win32.Agent.ee (DrWEB: Trojan.Spambot.2384)


  • Уважаемый(ая) XCube, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Стандартный набор
      От turtle в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 04:49
    2. Ответов: 7
      Последнее сообщение: 22.02.2009, 03:11
    3. Ответов: 15
      Последнее сообщение: 22.02.2009, 03:11
    4. Ответов: 15
      Последнее сообщение: 20.12.2007, 12:30
    5. Winlogon.exe и Deflib.sys
      От Denis79 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 19.10.2007, 02:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00650 seconds with 17 queries