-
Junior Member
- Вес репутации
- 60
I need help
Всем здрасти
Ситуация следующая , провайдер пожаловался что идет с нашего IP спам почты, в сети офисной стоит сервер на 2003 винде, с программным обеспечением TraficInspector по статистике видно что с одной из тачек идет большое количество пакетов (исходящих) , статистика реального времени показала что с этой тачки идет большой поток на 25 порт и сотни IP адреса.
Комп проверился Касперским WorkSt были найдены вирусы и удалены, потом комп проверился AVZ были найдены и удалены вирусы, следом комп проверился AntiVIr AVIRA и тоже были найдены какие то вирусы, после включения тачки обратно в интернет статистика реального времени показала что опять идет спам на 25 порт.
В общем такая вот проблемка...
Заранее благодарен за помощь.
Последний раз редактировалось Xaocc; 20.07.2009 в 16:56.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
скачайте найти Ryks67.sys - force delete
затем выполните скрипт авз ...
Код:
begin
BC_DeleteSvc('Ryks67');
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
-
-
Junior Member
- Вес репутации
- 60
Вопросик, а логи все опять повторить ?
Просто там скан диска С идет часа 2, по скольку очень много информации на диске...
-
Сделайте начиная с п.10 правил.
Добавлено через 2 минуты
Пришлите по правилам вот это чудо:
C:\WINDOWS\system32\anti_troj.exe
Последний раз редактировалось Bratez; 18.02.2008 в 12:50.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Без AVZGuard тачка постоянно перезагружается если делаются скрипты.
"скачайте найти Ryks67.sys - force delete" скачал IceSword при переключении по функциям тачка сама перезагружается если не включен AVZGuard. (даже с AVZGuard рестартиться )
Такое чувство что вирь взял тачку под контроль
Добавлено через 8 минут
Так и не понял зачем нужна программа IceSword ?
Последний раз редактировалось Xaocc; 18.02.2008 в 13:05.
Причина: Добавлено
-
грузитесь с диска ... и удаляйте файл ...
-
-
Junior Member
- Вес репутации
- 60
Вот логи после удаления Ryks67.sys
Последний раз редактировалось Xaocc; 20.07.2009 в 16:56.
-
Ryks67.sys живее всех живых
Видимо придется (временно) деинсталлировать Аутпост, он мешает лечению.
Старую версию Касперского тоже долой.
Дальше сейчас напишу...
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
-
Выполните такой скрипт:
Код:
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Ryks67', 'Start');
BC_QrFile('C:\WINDOWS\System32\drivers\Ryks67.sys');
BC_DeleteSvc('Ryks67');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Ryks67.sys');
RebootWindows(true);
end.
и сделайте новый лог syscheck.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Вот новый лог после выполнения скрипта
PS: Скрипт выполнялся при включенном AVZGuard иначе, тачка перезагружалась до момента выполнения всего скрипта.
Последний раз редактировалось Xaocc; 20.07.2009 в 16:56.
-
в логах чисто .... авз с аутпостом не дружит ...
-
-
Ryks67.sys должен был попасть в карантин.
Если он там есть, пришлите по правилам, вдруг новая модификация.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
В карантине все чисто...
-
В смысле пусто? Ну ладно...
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\anti_troj.exe','');
QuarantineFile('c:\windows\system32\msru.exe','');
DeleteFile('c:\windows\system32\msru.exe');
DeleteFile('C:\WINDOWS\system32\anti_troj.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если будет не пуст.
Откройте в AVZ Менеджер ActiveSetup и удалите строчку с упоминанием msru.exe.
Рекомендуется отключить все что вам не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
В общем сделал все как сказали, в карантине пусто !!!
Вот логи последние.
В карантине появилось сегодняшнее число но сам карантин пуст 0.0 Kb.
Последний раз редактировалось Xaocc; 20.07.2009 в 16:56.
-
Больше ничего плохого в логах нет.
Все же удалите старого Каспера, он там явно лишний.
Или удалите их с Авирой обоих и поставьте KAV 7.0.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Все, подрубил тачку к внешнему интерфейсу Логи пока чистые... фуф !
Bratez огромное спасибо, респект за то, что есть такие люди которые могут помочь с такими нелегкими проблемами.
Так же спасибо за этот портал помощи и всем кто прикладывает к нему свое время, голову и время !