Здравствуйте!
очень надеюсь на вашу помощь!
В свойствах подключения каждый день виден большой обьем трафика..(~100мб) причем и исходящего примерно в таком же объеме. Давно было подозрение на руткит пересылающий спам..после прочтения этого сайта утвердившееся...Стоит антивирус НОД32 3,0,566,0 (как его выгружать незнаю поэтому во время проверок он был не отключен)Он находил Deflib.sys и ipv6fv, но они появляются снова..winlogon.exe в локальной временной папке юзера визуально не видно.. ...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
на всякий случай логи..
еще беспокоит что АВЗ при стандартной проверке пишет:
"6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем"
...если проблема с трафиком то, наверное, порты как раз слушать и нужно??
p.s. AVZPM включил, потом сделал логи.
OMG! IMPOSSBL!! вроде бы никто больше ничего через меня не качает!!
Благодарен от всей души!! Большое спасибо!!
осталось только 2 вопроса:
1)в сетке есть еще компьютер с такой же заразой..(там сетевое подключение отключено конечно) - можно ли там применить такой же скрипт?? или мучить вас новыми логами?
2)можете дать ссылку или коротко рассказать как не заразиться этими руткитами, основные пути их распространения я так понял не такие же как у "обычных" вирусов..это уязвимости браузера? или все таки зараженные скрипты сайтов?
Еще раз большое спасибо!!!
Последний раз редактировалось XCube; 19.12.2007 в 20:28.
1. Лучше прислать новые логи в новую тему
2. Регулярно обновлять антивирус, ставить все заплатки от Microsoft, работать под ограниченной записью, а не под администраторской
winlogon.exe - SpamTool.Win32.Agent.ee
Добавлено через 1 час 4 минуты
epfwtdir.sys - чистый
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Что из вышеуказанного не нужно?
>> Заблокирован пункт меню Справка и техподдержка
А это сами делали?
Последний раз редактировалось rubin; 19.12.2007 в 22:15.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: