множественные smtp соединения

**Pancho69** · 20.12.2009, 17:53

Здравствуйте
обнаружил сабж - создаются пачками несанкционированные соединения от имени системных процессов. Обновляющимся нодом убил все что нашлось, поставил все обновления безопасности ХР. Проверил в защищеном режиме АВПтулом, все чистенько. Сделал логи по правилам, посмотрите пожалста, помогите прибить зловреда и если что лишние в реестре

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Aleksandra** · 20.12.2009, 18:06

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('E:\Documents and Settings\pancho\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
 QuarantineFile('E:\WINDOWS\system32\Drivers\nncctei.sys','');
 DeleteFile('E:\WINDOWS\system32\Drivers\nncctei.sys');
 BC_DeleteFile('E:\WINDOWS\system32\Drivers\nncctei.sys');
 DeleteFile('E:\Documents and Settings\pancho\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=64412

4. Повторите лог virusinfo_syscheck.

**Pancho69** · 20.12.2009, 18:46

Спасибо за быстрый ответ. После выполнения скрипта п.2 комп ушел на перезагрузку и не "не вернулся"

После кнопочного рестарта вышел на меню с предложением запуска в безопасном режиме, я запустил в обычно и получил синий экран:
......
DRIVER_IRQL_NOT_LESS_OR_EQUEL
......
Technical information:
*** STOP: 0x000000D1 (0xF8937BE8, 0x00000002, 0x00000000, 0xF8937BE

Запускать в защищенном и продолжать пп. 3 и 4?

**Aleksandra** · 20.12.2009, 19:43

Если в обычном режиме загрузится не выходит, то грузимся в безопасном и далее:

1. Качаем avast!antirootkit tool
2. Запускаем и производим сканирование
3. После проверки выбираем "Fix now" и rebooting...
4. Пробуем загрузку в обычном режиме
5. Повторяем лог virusinfo_syscheck и прикладываем лог работы антируткита.

Добавлено через 45 минут

Если результат будет отрицательным:

1. Скачайте Vba32 Rescue по следующим ссылкам:

ftp://anti-virus.by/pub/vbarescue-beta.iso
ftp://vba.ok.by/vba/vbarescue-beta.iso

2. Запишите образ на болванку
3. Загрузитесь с диска восстановления
4. Подключите флэшку
5. Выберите в меню Midnight Commander (с ним удобнее работать)
6. Найдите и скопируйте на нее файл:

E:\WINDOWS\system32\Drivers\nncctei.sys

(разделы жесткого диска ищите в /mnt)

7. Удалите файл с диска
8. Попробуйте загрузится в обычном режиме и повторите лог virusinfo_syscheck.

**Pancho69** · 20.12.2009, 20:23

Результат с авастом:
После трехкратных попыток сканирования при обнаружении зловреда получал:
Avast! Antirootkit - обнаружена ошибка. Приложение будет закрыто....

даю обрезанный(по причине оч большого размера оригинала) лог аваста - можно сказать что это за зловред такой?

буду пробовать дальнейшие инструкции.

**Aleksandra** · 20.12.2009, 20:46

В обычном режиме загрузится по-прежнему не можете?

Сообщение от Pancho69

можно сказать что это за зловред такой?

Это руткит. Печально, антируткит c ним не справился.

Аналогичная тема http://virusinfo.info/showthread.php?t=64426

**Pancho69** · 20.12.2009, 21:08

Удаление E:\WINDOWS\system32\Drivers\nncctei.sys прошло успешно, загрузился в обычном режиме, симптомы исчезли, даю лог virusinfo_syscheck. Спасибо. Нужно ли сделать что то еще?

**Aleksandra** · 20.12.2009, 21:18

Ничего зловредного в логах не увидела.

Сообщение от Pancho69

Нужно ли сделать что то еще?

1. Вы мне файлик на флэшку не скопировали? Он мне очень нужен.

2. Выполните п.3 из моего первого поста в этой теме и закачайте карантин по ссылке.

**Pancho69** · 20.12.2009, 21:36

1. Вы мне файлик на флэшку не скопировали? Он мне очень нужен

Сохранил конечно, я так понимаю его надо зазиповать и отправить через указанную Вами форму?

Выполните п.3 из моего первого поста в этой теме и закачайте карантин по ссылке.

Выполнил, но карантин по ссылке не качнулся -
Результат загрузки

Ошибка загрузки. Данный файл уже был загружен

**Aleksandra** · 20.12.2009, 21:41

Сообщение от Pancho69

Сохранил конечно, я так понимаю его надо зазиповать и отправить через указанную Вами форму?

Да, сожмите его с паролем virus и закачайте по той же ссылке. Спасибо.

**Pancho69** · 20.12.2009, 21:56

Отправил, а можно определить откуда или хотябы когда он ко мне попал?
Карантин не получается отправить

**Aleksandra** · 20.12.2009, 22:02

Сообщение от Pancho69

а можно определить откуда или хотябы когда он ко мне попал?

К сожалению нет.

Сообщение от Pancho69

Карантин не получается отправить

quarantine.zip отправьте мне на aleksandra.sedakova[antispam]gmail.com

**CyberHelper** · 21.12.2009, 22:02

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. \nncctei.sys - Trojan.Win32.Buzus.cutu ( DrWEB: Trojan.Packed.600, BitDefender: Backdoor.Rustock.NGK, AVAST4: Win32:Rootkit-gen [Rtk] )

множественные smtp соединения (заявка № 64412)

Опции темы

множественные smtp соединения

Итог лечения

Похожие темы

SMTP троян

Новый Руткит?! Множественные подключения по SMTP протоколу!!!

Троян сильно грузит инет создавая SMTP соединения

рассылка по smtp

Метки для этой темы

Ваши права в разделе