-
Junior Member
- Вес репутации
- 58
Гости
Здравствуйте!
На компьютере замечаю постаянно лишних гостей
C:\>net session
Компьютер Пользователь Тип клиента Ожидание открытия
-------------------------------------------------------------------------------
\\192.168.*.* MyPC1 Windows 2002 Serv 4 01:15:00
\\192.168.*.* MyPC2 Windows 2002 Serv 0 00:00:06
\\85.222.38.173 Windows 2000 2195 1 00:54:00
\\85.222.38.173 Windows 2000 2195 0 00:54:46
\\85.223.68.66 Windows 2000 2195 0 00:00:00
\\85.223.68.66 ADMINISTRATORO Windows 2000 2195 0 00:00:00
Команда выполнена успешно.
Постоянно новые коннекты с 85.*.*.* (диапазон к работе общего ничего не имеет) причем всегда 10, пользователи на сетевые шары зайти немог в силу ограничения на 10 юзеров.
П.С. Я в малваре не специалист, но как по мне на ботнет похоже
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('ip_fw');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ip_fw.sys','');
QuarantineFile('C:\Program Files\RhinoSoft.com\Serv-U\Serv-U.exe','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\ip_fw.sys');
DeleteFile('e:\aaf9f9cf37fbf9f2c1b415\wgasetup.exe');
DeleteFileMask('e:\aaf9f9cf37fbf9f2c1b415','*.*',true);
DeleteDirectory('e:\aaf9f9cf37fbf9f2c1b415');
DeleteService('ip_fw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('ip_fw');
SetAVZPMStatus(True);
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Очистите файл hosts.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
-
Вы его сами ставили? Просто это довольно редкая программа для винды и с таким именем есть и довольно популярный зловред
Тогда выполните вот такой скрипт вместо предложенного моим коллегой, однако выполнить предложенные предписания
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ip_fw.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\60903922.sys','');
QuarantineFile('C:\Program Files\RhinoSoft.com\Serv-U\Serv-U.exe','');
DeleteFile('e:\aaf9f9cf37fbf9f2c1b415\wgasetup.exe');
DeleteFileMask('e:\aaf9f9cf37fbf9f2c1b415','*.*',true);
DeleteDirectory('e:\aaf9f9cf37fbf9f2c1b415');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RebootWindows(true);
end.
P.S. это обнулит некоторые настройки системы, просто очень чудные у вас подозрения на руткит, без этого боюсь не обойтись.
Последний раз редактировалось drongo; 20.10.2009 в 21:19.
-