• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Kido. Win.NETAPI.buffer-overflow.exploit на порт 445

Статус
В этой теме нельзя размещать новые ответы.

Slue

Активный пользователь
Сообщения
6
Реакции
0
Баллы
391
Добрый день!
Подскажите, пожалуйста, как избавиться от этого червя!?
Логи gmer и ComboFix во вложении.

п.с. Gmer не самым корректным образом завершил сканирование, но лог сформировался, если необходимо могу детально описать
 

Вложения

  • log.CF.txt
    18.2 KB · Просмотры: 9
  • log.gmer.log
    103.5 KB · Просмотры: 5

zirreX

Ассоциация VN
Сообщения
733
Реакции
336
Баллы
453
Здравствуйте!

Заражения не вижу.

Установите патчи от Майкрософт, закрывающие уязвимости MS08-067, MS08-068 и MS09-001

http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx
http://www.microsoft.com/rus/technet/security/bulletin/MS08-068.mspx
http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx

Выберите операционную систему, которая установлена на вашем компьютере и скачайте нужный патч.


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
 

akok

Команда форума
Администратор
Сообщения
19,421
Реакции
13,386
Баллы
2,203
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
 

Slue

Активный пользователь
Сообщения
6
Реакции
0
Баллы
391
Патч установил (для меня был только MS09-001)

СomboFix удалил

Во вложение лог MBAM
 

Вложения

  • mbam-log-2011-02-10 (22-01-04).txt
    1.3 KB · Просмотры: 2

akok

Команда форума
Администратор
Сообщения
19,421
Реакции
13,386
Баллы
2,203
Повторите сканирование MBAM и удалите:
Код:
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.

В остальном активного заражения не вижу.
 

Slue

Активный пользователь
Сообщения
6
Реакции
0
Баллы
391
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> Quarantined and deleted successfully.

спасибо, ребят, большое!
надеюсь, сетевые атаки прекратятся, если что вернусь;)

Добавлено через 8 минут 0 секунд
не прошло и 5 минут, как Касперский напомнил о сетевой атаке
10.02.2011 22:24:05 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit Отсутствует TCP от 192.168.27.112 на локальный порт 445

есть ребят, еще варианты?
 

akok

Команда форума
Администратор
Сообщения
19,421
Реакции
13,386
Баллы
2,203
10.02.2011 22:24:05 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit Отсутствует TCP от 192.168.27.112 на локальный порт 445

Проблема не в локальном компьютере, а в соседях по сети. Заражённая машина сканирует сеть и пытается передать заражение дальше. Касперский доблестно отбивает атаки.
 

Slue

Активный пользователь
Сообщения
6
Реакции
0
Баллы
391
Проблема не в локальном компьютере, а в соседях по сети. Заражённая машина сканирует сеть и пытается передать заражение дальше. Касперский доблестно отбивает атаки.

Хм...ну наверно:unknw:

т.е. все вопросы к провайдеру? или забить?
 

akok

Команда форума
Администратор
Сообщения
19,421
Реакции
13,386
Баллы
2,203
т.е. все вопросы к провайдеру? или забить?
Локальная сеть провайдера большая? Если большая, то жалобу скорее всего проигнорируют.

Установите блокировку КИС атакующего компьютера не 60 минут, а например 420.

И прочтите эту тему возмите рекомендации по защите компьютера от этого зловреда (если они еще не выполнены).
 

Slue

Активный пользователь
Сообщения
6
Реакции
0
Баллы
391
Локальная сеть провайдера большая? Если большая, то жалобу скорее всего проигнорируют.
не думаю, что большая, у нас город сам по себе не большой, так что напишу им заметку

И прочтите эту тему возмите рекомендации по защите компьютера от этого зловреда (если они еще не выполнены).
не могу пройти по ссылке

Slue, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чьё-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
Вы пытаетесь написать сообщение, но ваш аккаунт отключён администрацией или ожидает активации.
 

Slue

Активный пользователь
Сообщения
6
Реакции
0
Баллы
391
Всем привет!!
У меня после всех сканирований по теме, на диске D появились 2 папки 'RECYCLER' и '$RECYCLE.BIN'
Что это и есть ли необходимость что-либо предпринять?
 

akok

Команда форума
Администратор
Сообщения
19,421
Реакции
13,386
Баллы
2,203
Slue, это папки "Корзины".
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу