• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Kido. Win.NETAPI.buffer-overflow.exploit на порт 445

Статус
В этой теме нельзя размещать новые ответы.

Slue

Активный пользователь
Сообщения
6
Реакции
0
Баллы
391
Добрый день!
Подскажите, пожалуйста, как избавиться от этого червя!?
Логи gmer и ComboFix во вложении.

п.с. Gmer не самым корректным образом завершил сканирование, но лог сформировался, если необходимо могу детально описать
 

Вложения

zirreX

Ассоциация VN
Сообщения
733
Реакции
336
Баллы
453
Здравствуйте!

Заражения не вижу.

Установите патчи от Майкрософт, закрывающие уязвимости MS08-067, MS08-068 и MS09-001

http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx
http://www.microsoft.com/rus/technet/security/bulletin/MS08-068.mspx
http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx

Выберите операционную систему, которая установлена на вашем компьютере и скачайте нужный патч.


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
 

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
 

Slue

Активный пользователь
Сообщения
6
Реакции
0
Баллы
391
Патч установил (для меня был только MS09-001)

СomboFix удалил

Во вложение лог MBAM
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
Повторите сканирование MBAM и удалите:
Код:
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
В остальном активного заражения не вижу.
 

Slue

Активный пользователь
Сообщения
6
Реакции
0
Баллы
391
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> Quarantined and deleted successfully.
спасибо, ребят, большое!
надеюсь, сетевые атаки прекратятся, если что вернусь;)

Добавлено через 8 минут 0 секунд
не прошло и 5 минут, как Касперский напомнил о сетевой атаке
10.02.2011 22:24:05 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit Отсутствует TCP от 192.168.27.112 на локальный порт 445

есть ребят, еще варианты?
 

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
10.02.2011 22:24:05 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit Отсутствует TCP от 192.168.27.112 на локальный порт 445
Проблема не в локальном компьютере, а в соседях по сети. Заражённая машина сканирует сеть и пытается передать заражение дальше. Касперский доблестно отбивает атаки.
 

Slue

Активный пользователь
Сообщения
6
Реакции
0
Баллы
391
Проблема не в локальном компьютере, а в соседях по сети. Заражённая машина сканирует сеть и пытается передать заражение дальше. Касперский доблестно отбивает атаки.
Хм...ну наверно:unknw:

т.е. все вопросы к провайдеру? или забить?
 

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
т.е. все вопросы к провайдеру? или забить?
Локальная сеть провайдера большая? Если большая, то жалобу скорее всего проигнорируют.

Установите блокировку КИС атакующего компьютера не 60 минут, а например 420.

И прочтите эту тему возмите рекомендации по защите компьютера от этого зловреда (если они еще не выполнены).
 

Slue

Активный пользователь
Сообщения
6
Реакции
0
Баллы
391
Локальная сеть провайдера большая? Если большая, то жалобу скорее всего проигнорируют.
не думаю, что большая, у нас город сам по себе не большой, так что напишу им заметку

И прочтите эту тему возмите рекомендации по защите компьютера от этого зловреда (если они еще не выполнены).
не могу пройти по ссылке

Slue, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чьё-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
Вы пытаетесь написать сообщение, но ваш аккаунт отключён администрацией или ожидает активации.
 

Slue

Активный пользователь
Сообщения
6
Реакции
0
Баллы
391
Всем привет!!
У меня после всех сканирований по теме, на диске D появились 2 папки 'RECYCLER' и '$RECYCLE.BIN'
Что это и есть ли необходимость что-либо предпринять?
 

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
Slue, это папки "Корзины".
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу