Показано с 1 по 11 из 11.

Опять 25 (нещадно лупит в smtp) (заявка № 19584)

  1. #1
    Junior Member Репутация
    Регистрация
    11.03.2008
    Сообщений
    9
    Вес репутации
    59

    Thumbs up Опять 25 (нещадно лупит в smtp)

    После выявления беды (на фаерволе и AVZ.сервис.открытые порты)
    снял винт, проверял на другой машине последовательно: NOD32, Spyware Terminator, CureIt, AVZ.
    CureIt нашел вирус в файле ... ./tmp1147.exe (могу врать, т.к. не записал)
    успешно удалил его. AVZ сказал все ок.
    Затем прицепил винт обратно в комп, загрузился, те-же фрукты.
    Ломится на 25 порт по разным iP. потом с этих iP устанавливаются соединения с моим IP по разным портам.
    Смотрю AVZ.сервис.открытые порты = куча соединений в разной стадии. все инициированы через svchost.dll
    Хелп.плиз.

    Вдогонку...
    Нод32 перестал обновляться с 5 марта... подозреваю, что вирус его "того"...
    Сейчас 25 порт закрыл на фаерволе. в сети стоит тишина.
    Вложения Вложения
    Последний раз редактировалось AlexV; 11.03.2008 в 21:21.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('Yjt26', 4);
     StopService('Yjt26');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Yjt26.sys','');
     QuarantineFile('C:\Documents and Settings\Alex\Рабочий стол\.//..//~tmp1174.exe','');
     QuarantineFile('WLCtrl32.dll','');
     DeleteFile('WLCtrl32.dll');
     DeleteFile('C:\Documents and Settings\Alex\Рабочий стол\.//..//~tmp1174.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Yjt26.sys');
    BC_ImportAll;
    BC_DeleteSvc('Yjt26');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19584

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
    Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    11.03.2008
    Сообщений
    9
    Вес репутации
    59

    Сделано.

    Все прошло как по написанному.

    Вот новые логи.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\Qxq57.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Qxq57.sys');
     BC_DeleteSvc('Qxq57');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи начиная с пункта 10 правил ...

  6. #5
    Junior Member Репутация
    Регистрация
    11.03.2008
    Сообщений
    9
    Вес репутации
    59

    Сделано.

    При выполнении скрипта, форма запуска скриплов отрапортовала" Все ОК"
    Однако за этим окном ( в основном окне программы) явно мелькнули две красные записи "Ошибка". Поскольку комп ушел в перезагрузку, я не знаю что там было...

    Вот новые логи
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\KZ\UTILS\PBA63.exe - это знакомо ?

  8. #7
    Junior Member Репутация
    Регистрация
    11.03.2008
    Сообщений
    9
    Вес репутации
    59
    Цитата Сообщение от V_Bond Посмотреть сообщение
    C:\KZ\UTILS\PBA63.exe - это знакомо ?
    Да, это моя самописная приблуда. Шлет на сом порт строку и все.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    тогда больше не к чему придраться ....

  10. #9
    Junior Member Репутация
    Регистрация
    11.03.2008
    Сообщений
    9
    Вес репутации
    59
    Уффф. легко отделался.
    Спасибо Вам преогромнейшее.
    Как здорово, что есть специалисты, готовые оказать помощь!

    P.S. Вот бы еще найти хорошее средство для предохранения от всей этой гадости.

  11. #10
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista". Может найдёте что-то интересное для себя

    Удачи!

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 18
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Agent.kvg (DrWEB: Trojan.DownLoader.50037)


  • Уважаемый(ая) AlexV, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Нещадно тормозит ноутбук...
      От ed3110 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 19.01.2010, 12:31
    2. Sun Microsystems купит MySQL AB
      От ALEX(XX) в разделе Другие новости
      Ответов: 1
      Последнее сообщение: 18.01.2008, 02:51
    3. Ответов: 3
      Последнее сообщение: 27.08.2007, 01:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00834 seconds with 20 queries