-
Junior Member
- Вес репутации
- 62
Компьютер ломится на 207.10.234.74
Компьютер пытается омиться на адрес 207.10.234.74
Wingate firewall hit report:
Time: 22.03.2006 11:48:25
Reason: Port Range
Source MAC address: 00-0C-F1-7F-57-CB
Destination MAC address: 00-07-E9-45-85-16
Source IP address: 192.168.0.72 : 48011
Destination IP address: : 207.10.234.74 : 7839
Protocol: TCP
TCP flags: S
Time-to-live: 127
Причем порты меняются от 48000 до 48200 ...
При попытке запуска DR.Web - перезагрузка.
При попытке запуска скрипта AVZ "Скрипт лечения/карантина и сбора информации " - перезагрузка
В защищенном режиме - аналогично.
Программы переименовывал - не помогает..
Помогите плиз..
Последний раз редактировалось alyen; 18.04.2008 в 16:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Bpop75.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Bpop75.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Bpop75.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После этого попытаться сделать заново все логи.
Если вдруг после удаления не захочет компьютер загружаться, то загрузить последнюю успешную конфигурцию.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Спасибо. сделал.. Ломиться на 207.10.234.74 прекратил...
Скрипт лечения запустить удалось..
В процессе диагностики были небольшие попытки соеденения...
Wingate firewall hit report:
Time: 22.03.2006 12:30:33
Reason: Port Range
Source MAC address: 00-0C-F1-7F-57-CB
Destination MAC address: 00-07-E9-45-85-16
Source IP address: 192.168.0.72 : 1088
Destination IP address: 81.19.66.205 : 8080
Protocol: TCP
TCP flags: S
Time-to-live: 127
Cure-It тоже запустилась.. Сейчас проверяет..
Последний раз редактировалось alyen; 18.04.2008 в 16:46.
-
Junior Member
- Вес репутации
- 62
Cure-It работу закончила.. все чисто..
-
В карантин файл попал? Если да, то загрузи карантин по Правилам.
В логах он светится, но не активный.
Скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_QrFile('C:\WINDOWS\system32\drivers\Bpop75.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Bpop75.sys');
BC_Activate;
RebootWindows(true);
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Результат загрузки
Файл сохранён как 080321_083043_virus_47e3b88325517.zip
Размер файла 101028
MD5 9c7f0818e588bcbc79b6cc99270ee39d
Файл закачан, спасибо!
-
Делай новые логи, можно для скорости с п.10 Правил.
Trojan.Srizbi - по Симантеку, rootkit.agent.ea по Касперскому. Сейчас посмотрю, что против него надо применять.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
В пятницу не успел. Прикрепляю сейчас.
Последний раз редактировалось alyen; 18.04.2008 в 16:46.
-
Удаление прошло успешно. Логи чистые.
Для полного успокоения надо закрыть дырки, указанные внизу лога AVZ.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Ок. Понял. Спасибо вам большое..