Решена Kido. Win.NETAPI.buffer-overflow.exploit на порт 445

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Slue, 10 фев 2011.

Статус темы:
Закрыта.
  1. Slue
    Оффлайн

    Slue Активный пользователь

    Сообщения:
    6
    Симпатии:
    0
    Добрый день!
    Подскажите, пожалуйста, как избавиться от этого червя!?
    Логи gmer и ComboFix во вложении.

    п.с. Gmer не самым корректным образом завершил сканирование, но лог сформировался, если необходимо могу детально описать
     

    Вложения:

    • log.CF.txt
      Размер файла:
      18,2 КБ
      Просмотров:
      9
    • log.gmer.log
      Размер файла:
      103,5 КБ
      Просмотров:
      5
  2. zirreX
    Оффлайн

    zirreX Ассоциация VN

    Сообщения:
    739
    Симпатии:
    440
    Здравствуйте!

    Заражения не вижу.

    Установите патчи от Майкрософт, закрывающие уязвимости MS08-067, MS08-068 и MS09-001

    http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx
    http://www.microsoft.com/rus/technet/security/bulletin/MS08-068.mspx
    http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx

    Выберите операционную систему, которая установлена на вашем компьютере и скачайте нужный патч.


    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
     
    1 человеку нравится это.
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"
    [​IMG]

    Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
     
  4. Slue
    Оффлайн

    Slue Активный пользователь

    Сообщения:
    6
    Симпатии:
    0
    Патч установил (для меня был только MS09-001)

    СomboFix удалил

    Во вложение лог MBAM
     

    Вложения:

  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Повторите сканирование MBAM и удалите:
    Код (Text):
    Заражённые ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
    В остальном активного заражения не вижу.
     
    1 человеку нравится это.
  6. Slue
    Оффлайн

    Slue Активный пользователь

    Сообщения:
    6
    Симпатии:
    0
    спасибо, ребят, большое!
    надеюсь, сетевые атаки прекратятся, если что вернусь;)

    Добавлено через 8 минут 0 секунд
    не прошло и 5 минут, как Касперский напомнил о сетевой атаке
    10.02.2011 22:24:05 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit Отсутствует TCP от 192.168.27.112 на локальный порт 445

    есть ребят, еще варианты?
     
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Проблема не в локальном компьютере, а в соседях по сети. Заражённая машина сканирует сеть и пытается передать заражение дальше. Касперский доблестно отбивает атаки.
     
  8. Slue
    Оффлайн

    Slue Активный пользователь

    Сообщения:
    6
    Симпатии:
    0
    Хм...ну наверно:unknw:

    т.е. все вопросы к провайдеру? или забить?
     
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Локальная сеть провайдера большая? Если большая, то жалобу скорее всего проигнорируют.

    Установите блокировку КИС атакующего компьютера не 60 минут, а например 420.

    И прочтите эту тему возмите рекомендации по защите компьютера от этого зловреда (если они еще не выполнены).
     
    1 человеку нравится это.
  10. Slue
    Оффлайн

    Slue Активный пользователь

    Сообщения:
    6
    Симпатии:
    0
    не думаю, что большая, у нас город сам по себе не большой, так что напишу им заметку

    не могу пройти по ссылке

     
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    1 человеку нравится это.
  12. Slue
    Оффлайн

    Slue Активный пользователь

    Сообщения:
    6
    Симпатии:
    0
    Всем привет!!
    У меня после всех сканирований по теме, на диске D появились 2 папки 'RECYCLER' и '$RECYCLE.BIN'
    Что это и есть ли необходимость что-либо предпринять?
     
  13. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Slue, это папки "Корзины".
     
Статус темы:
Закрыта.

Поделиться этой страницей