Показано с 1 по 4 из 4.

Гости (заявка № 57776)

  1. #1
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    2
    Вес репутации
    35

    Гости

    Здравствуйте!
    На компьютере замечаю постаянно лишних гостей

    C:\>net session

    Компьютер Пользователь Тип клиента Ожидание открытия

    -------------------------------------------------------------------------------
    \\192.168.*.* MyPC1 Windows 2002 Serv 4 01:15:00

    \\192.168.*.* MyPC2 Windows 2002 Serv 0 00:00:06

    \\85.222.38.173 Windows 2000 2195 1 00:54:00

    \\85.222.38.173 Windows 2000 2195 0 00:54:46

    \\85.223.68.66 Windows 2000 2195 0 00:00:00

    \\85.223.68.66 ADMINISTRATORO Windows 2000 2195 0 00:00:00

    Команда выполнена успешно.

    Постоянно новые коннекты с 85.*.*.* (диапазон к работе общего ничего не имеет) причем всегда 10, пользователи на сетевые шары зайти немог в силу ограничения на 10 юзеров.
    П.С. Я в малваре не специалист, но как по мне на ботнет похоже

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Здравствуйте,

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    -Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     StopService('ip_fw');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\ip_fw.sys','');
     QuarantineFile('C:\Program Files\RhinoSoft.com\Serv-U\Serv-U.exe','');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\ip_fw.sys');
     DeleteFile('e:\aaf9f9cf37fbf9f2c1b415\wgasetup.exe');
     DeleteFileMask('e:\aaf9f9cf37fbf9f2c1b415','*.*',true);
     DeleteDirectory('e:\aaf9f9cf37fbf9f2c1b415');
     DeleteService('ip_fw');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    BC_DeleteSvc('ip_fw');
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Очистите файл hosts.
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    2
    Вес репутации
    35
    ip_fw - пакетный фильтр http://wipfw.sourceforge.net/

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Вы его сами ставили? Просто это довольно редкая программа для винды и с таким именем есть и довольно популярный зловред
    Тогда выполните вот такой скрипт вместо предложенного моим коллегой, однако выполнить предложенные предписания

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\ip_fw.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\60903922.sys','');
     QuarantineFile('C:\Program Files\RhinoSoft.com\Serv-U\Serv-U.exe','');
     DeleteFile('e:\aaf9f9cf37fbf9f2c1b415\wgasetup.exe');
     DeleteFileMask('e:\aaf9f9cf37fbf9f2c1b415','*.*',true);
     DeleteDirectory('e:\aaf9f9cf37fbf9f2c1b415');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(True);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    P.S. это обнулит некоторые настройки системы, просто очень чудные у вас подозрения на руткит, без этого боюсь не обойтись.
    Последний раз редактировалось drongo; 20.10.2009 в 20:19.

  • Уважаемый(ая) r00tik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 01.06.2012, 19:28
    2. Были гости, остались кости :(
      От Ульянка в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.01.2010, 10:07

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00427 seconds with 16 queries