Похоже стандартный набор:Deflib, winlogon...беспокоит вход\исх. трафик!
Здравствуйте!
очень надеюсь на вашу помощь!
В свойствах подключения каждый день виден большой обьем трафика..(~100мб) причем и исходящего примерно в таком же объеме. Давно было подозрение на руткит пересылающий спам..после прочтения этого сайта утвердившееся...Стоит антивирус НОД32 3,0,566,0 (как его выгружать незнаю поэтому во время проверок он был не отключен)Он находил Deflib.sys и ipv6fv, но они появляются снова..winlogon.exe в локальной временной папке юзера визуально не видно..
...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\DRIVERS\epfwtdir.sys',''); QuarantineFile('C:\WINDOWS\system32\DefLib.sys',''); QuarantineFile('c:\docume~1\xcube\locals~1\temp\winlogon.exe',''); DeleteFile('c:\docume~1\xcube\locals~1\temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\DefLib.sys'); BC_ImportAll; BC_QrFile('C:\WINDOWS\system32\DRIVERS\epfwtdir.sys'); BC_DeleteFile('C:\WINDOWS\system32\DefLib.sys'); BC_DeleteSvc('Deflib'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=15470
2.Пофиксить в HijackThis следующие строчки, если останутся ( http://virusinfo.info/showthread.php?t=4491 )
3. Установите AVZPM (http://virusinfo.info/showthread.php?t=12316)Код:O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\XCube\LOCALS~1\Temp\winlogon.exe
4. Сделайте новые логи для проверки
такой строчки не осталось...трафик как шел так и идет...нужно присылать новые логи? ставить AVZPM?Сообщение от rubin
Пока ничего не надо. Ещё один подозреваемый на исследовании.
на всякий случай логи..
еще беспокоит что АВЗ при стандартной проверке пишет:
"6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем"
...если проблема с трафиком то, наверное, порты как раз слушать и нужно??
p.s. AVZPM включил, потом сделал логи.
OMG! IMPOSSBL!! вроде бы никто больше ничего через меня не качает!!
Благодарен от всей души!! Большое спасибо!!
осталось только 2 вопроса:
1)в сетке есть еще компьютер с такой же заразой..(там сетевое подключение отключено конечно) - можно ли там применить такой же скрипт?? или мучить вас новыми логами?
2)можете дать ссылку или коротко рассказать как не заразиться этими руткитами, основные пути их распространения я так понял не такие же как у "обычных" вирусов..это уязвимости браузера? или все таки зараженные скрипты сайтов?
Еще раз большое спасибо!!!
Последний раз редактировалось XCube; 19.12.2007 в 20:28.
1. Лучше прислать новые логи в новую тему
2. Регулярно обновлять антивирус, ставить все заплатки от Microsoft, работать под ограниченной записью, а не под администраторской
winlogon.exe - SpamTool.Win32.Agent.ee
Добавлено через 1 час 4 минуты
epfwtdir.sys - чистый
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Что из вышеуказанного не нужно?
>> Заблокирован пункт меню Справка и техподдержка
А это сами делали?
Последний раз редактировалось rubin; 19.12.2007 в 22:15. Причина: Добавлено
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
1.кроме этого все не нужно...
2. да, не нравится справка и ресент докс в меню..
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\docume~1\\xcube\\locals~1\\temp\\winlogon.exe - Trojan-Mailfinder.Win32.Agent.ee (DrWEB: Trojan.Spambot.2384)
Уважаемый(ая) XCube, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
