Показано с 1 по 18 из 18.

I need help (заявка № 18225)

  1. #1
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    60
    Вес репутации
    37

    Thumbs up I need help

    Всем здрасти
    Ситуация следующая , провайдер пожаловался что идет с нашего IP спам почты, в сети офисной стоит сервер на 2003 винде, с программным обеспечением TraficInspector по статистике видно что с одной из тачек идет большое количество пакетов (исходящих) , статистика реального времени показала что с этой тачки идет большой поток на 25 порт и сотни IP адреса.
    Комп проверился Касперским WorkSt были найдены вирусы и удалены, потом комп проверился AVZ были найдены и удалены вирусы, следом комп проверился AntiVIr AVIRA и тоже были найдены какие то вирусы, после включения тачки обратно в интернет статистика реального времени показала что опять идет спам на 25 порт.
    В общем такая вот проблемка...
    Заранее благодарен за помощь.
    Последний раз редактировалось Xaocc; 20.07.2009 в 15:56.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    скачайте найти Ryks67.sys - force delete
    затем выполните скрипт авз ...
    Код:
    begin
     BC_DeleteSvc('Ryks67');
     BC_Activate;
     RebootWindows(true);
    end.
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    60
    Вес репутации
    37
    Вопросик, а логи все опять повторить ?
    Просто там скан диска С идет часа 2, по скольку очень много информации на диске...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Сделайте начиная с п.10 правил.

    Добавлено через 2 минуты

    Пришлите по правилам вот это чудо:
    C:\WINDOWS\system32\anti_troj.exe
    Последний раз редактировалось Bratez; 18.02.2008 в 12:50. Причина: Добавлено
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    60
    Вес репутации
    37
    Без AVZGuard тачка постоянно перезагружается если делаются скрипты.
    "скачайте найти Ryks67.sys - force delete" скачал IceSword при переключении по функциям тачка сама перезагружается если не включен AVZGuard. (даже с AVZGuard рестартиться )
    Такое чувство что вирь взял тачку под контроль

    Добавлено через 8 минут

    Так и не понял зачем нужна программа IceSword ?
    Последний раз редактировалось Xaocc; 18.02.2008 в 13:05. Причина: Добавлено

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    грузитесь с диска ... и удаляйте файл ...

  8. #7
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    60
    Вес репутации
    37
    Вот логи после удаления Ryks67.sys
    Последний раз редактировалось Xaocc; 20.07.2009 в 15:56.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Ryks67.sys живее всех живых
    Видимо придется (временно) деинсталлировать Аутпост, он мешает лечению.
    Старую версию Касперского тоже долой.
    Дальше сейчас напишу...
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    60
    Вес репутации
    37
    Хех... ок бду ждать

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните такой скрипт:
    Код:
    begin
     SearchRootkit(false, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Ryks67', 'Start');
     BC_QrFile('C:\WINDOWS\System32\drivers\Ryks67.sys');
     BC_DeleteSvc('Ryks67');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Ryks67.sys');
     RebootWindows(true); 
    end.
    и сделайте новый лог syscheck.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    60
    Вес репутации
    37
    Вот новый лог после выполнения скрипта

    PS: Скрипт выполнялся при включенном AVZGuard иначе, тачка перезагружалась до момента выполнения всего скрипта.
    Последний раз редактировалось Xaocc; 20.07.2009 в 15:56.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    в логах чисто .... авз с аутпостом не дружит ...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Ryks67.sys должен был попасть в карантин.
    Если он там есть, пришлите по правилам, вдруг новая модификация.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    60
    Вес репутации
    37
    В карантине все чисто...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    В смысле пусто? Ну ладно...

    Отключите восстановление системы!
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\anti_troj.exe','');
     QuarantineFile('c:\windows\system32\msru.exe','');
     DeleteFile('c:\windows\system32\msru.exe');
     DeleteFile('C:\WINDOWS\system32\anti_troj.exe');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(16);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил, если будет не пуст.
    Откройте в AVZ Менеджер ActiveSetup и удалите строчку с упоминанием msru.exe.

    Рекомендуется отключить все что вам не нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
    >> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
    >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    60
    Вес репутации
    37
    В общем сделал все как сказали, в карантине пусто !!!
    Вот логи последние.
    В карантине появилось сегодняшнее число но сам карантин пуст 0.0 Kb.
    Последний раз редактировалось Xaocc; 20.07.2009 в 15:56.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Больше ничего плохого в логах нет.

    Все же удалите старого Каспера, он там явно лишний.
    Или удалите их с Авирой обоих и поставьте KAV 7.0.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    60
    Вес репутации
    37
    Все, подрубил тачку к внешнему интерфейсу Логи пока чистые... фуф !
    Bratez огромное спасибо, респект за то, что есть такие люди которые могут помочь с такими нелегкими проблемами.
    Так же спасибо за этот портал помощи и всем кто прикладывает к нему свое время, голову и время !

  • Уважаемый(ая) Xaocc, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01163 seconds with 15 queries