Прошу о помощи.
У нас в локалке распространена довольно удобная утилита, которая висит в трее, и позволяет быстро "включить\выключить интернет", посмотреть баланс, сменить тариф, заблокировать сегменты и т.п.
Всё было хорошо, стоял фаервол, потом поставил более новую версию, она мне не понравилась, снёс, поставил старую, но перестал работать пиринг, плюнул, снёс, включил встроенный в ХР фаервол, и забыл об этом. Прошло около месяца.
В один прекрасный день включил интернет, антивирус сразу поймал сперва WORM/Ntech.Z.4 в \Windows\Temp\<чегото>.tmp, затем Trojan TR/Pandex.L.2 в \Windows\system32\drivers\smtpdrv.sys. Всё удалил.
С тех пор что только не пробовал, ставил все антивирусы DrWeb, Касперыча 7-го, Nod32, всякие антируткиты и антиспаи... всё бестолку, находят, убивают, включаем инет, и всё повторяется... Spyware Doctor 5.5 говорит, что у меня:
Trojan.MailSpectre - aka - Email-Worm.Win32.Agent.I [Kaspersky]
Rootkit.Agent.EY
тоже предлагает грохнуть, грохаем, и всё по-новой.
Сейчас не пускает на www.google.ru -- в ответ пишет: " Приносим наши извинения... но в настоящий момент мы не можем рассмотреть Вашу заявку. Компьютерный вирус или шпионское ПО посылает нам автоматические заявки, и, возможно, Ваш компьютер или сеть были заражены."
В процессах ненормально много svchost.exe. Время от времени появляется iexplore.exe от эккаунта SYSTEM, но никуда вроде не ходит... сетевой активности не наблюдаю.
Видел несколько тем, где упоминался smtpdrv.sys, но с разными симтомами и разными скриптами для лечения. Затем увидел предостережение, не пользоваться чужими скриптами, если не шаришь... я как раз не могу сказать, что шарю, потому и обращаюсь.
Проделал инструкцию, логи прилагаю.
Надеюсь на помощь, спасибо...
Чуть не забыл: была винда со вторым сервис-паком, после того, как это началось (неделя прошла), один знакомый сисадмин посоветовал поставить пре-сп3, дескать, много дыр было заделано с тех пор, скачал самый последний, с мелкософтного сайта. Два дня как установлен, толку, понятно, нет.
Последний раз редактировалось _random; 28.01.2008 в 21:31.
Причина: забыл добавить
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Эх, первое сканирование долго идёт, только системный раздел сканирует полчаса... это я ещё предварительно 7 гигов средств разработки и сдк снёс...
после первого скрипта:
1) антивирус больше никого не ловит, не визжит
2) перестал запускаться процесс iexplore.exe от имени SYSTEM
прилагаю новые файлы...
спасибо, друг
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) -- это я не знаю, что за хрень... щас пойду в сервисы посмотрю.
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager) -- это я выключал давным давно
>> Безопасность: разрешен автозапуск программ с CDROM -- это я забил, авира поймает, если что.
>> Безопасность: к ПК разрешен доступ анонимного пользователя -- никогда не включал, в списке пользователей анонимусов не вижу...
Последний раз редактировалось _random; 28.01.2008 в 23:02.
Причина: смотрю логи и удивляюсь...
и как теперь быть, убить прогу? полечить ничем нельзя?
карантин залил, новые логи прилагаю
карантин может предварительно чистить? боюсь, что вместе со старым отправил...
>> Безопасность: к ПК разрешен доступ анонимного пользователя
подскажите плз, как с этим побороться?
нажал на линк в логе, создался скрипт:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAn onymous', 2);
end.
-- я его выполнил, и, полагаю, мой последний вопрос снят
Последний раз редактировалось _random; 28.01.2008 в 23:38.
Причина: провёл эксперимент
в логах чисто ....
если нет локалки ... то анонимного пользователя можно отключить...
AdsCleaner - если нужная вам программа ... и нет альтернативы .... то остается использовать ...
Огромное спасибо!
Если не сильно влом, можете сказать, что это было, и как оно заползло? (Чтобы, в частности, постараться сделать так, чтобы это больше не повторилось?)
Пока поменял Авиру Классик, на Авиру Секьюрити Сьют (на сайте дают лицензию на 3 мес.).
была у вас одна из самых трудно удаляемых гадостей (Trojan TR/Pandex) ... антивирусами обычно не удаляется ...
если есть локалка без доступа анонимного пользователя ваша машина не будет видна в сети ....
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: