Решена Kido. Win.NETAPI.buffer-overflow.exploit на порт 445

Статус
В этой теме нельзя размещать новые ответы.

Slue

Активный пользователь
Сообщения
6
Симпатии
0
Баллы
301
#1
Добрый день!
Подскажите, пожалуйста, как избавиться от этого червя!?
Логи gmer и ComboFix во вложении.

п.с. Gmer не самым корректным образом завершил сканирование, но лог сформировался, если необходимо могу детально описать
 

Вложения

zirreX

Ассоциация VN
Сообщения
733
Симпатии
336
Баллы
443
#2
Здравствуйте!

Заражения не вижу.

Установите патчи от Майкрософт, закрывающие уязвимости MS08-067, MS08-068 и MS09-001

http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx
http://www.microsoft.com/rus/technet/security/bulletin/MS08-068.mspx
http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx

Выберите операционную систему, которая установлена на вашем компьютере и скачайте нужный патч.


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
 

akok

Команда форума
Администратор
Сообщения
15,591
Симпатии
12,652
Баллы
2,203
#3
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"
proxy.php?image=http%3A%2F%2Fvirusnet.info%2Fimages%2Fcombofix-uninstall.jpg&hash=bf391acb2e647136b44dd64a4cbbbd40


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
 

akok

Команда форума
Администратор
Сообщения
15,591
Симпатии
12,652
Баллы
2,203
#5
Повторите сканирование MBAM и удалите:
Код:
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
В остальном активного заражения не вижу.
 

Slue

Активный пользователь
Сообщения
6
Симпатии
0
Баллы
301
#6
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> Quarantined and deleted successfully.
спасибо, ребят, большое!
надеюсь, сетевые атаки прекратятся, если что вернусь;)

Добавлено через 8 минут 0 секунд
не прошло и 5 минут, как Касперский напомнил о сетевой атаке
10.02.2011 22:24:05 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit Отсутствует TCP от 192.168.27.112 на локальный порт 445

есть ребят, еще варианты?
 

akok

Команда форума
Администратор
Сообщения
15,591
Симпатии
12,652
Баллы
2,203
#7
10.02.2011 22:24:05 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit Отсутствует TCP от 192.168.27.112 на локальный порт 445
Проблема не в локальном компьютере, а в соседях по сети. Заражённая машина сканирует сеть и пытается передать заражение дальше. Касперский доблестно отбивает атаки.
 

Slue

Активный пользователь
Сообщения
6
Симпатии
0
Баллы
301
#8
Проблема не в локальном компьютере, а в соседях по сети. Заражённая машина сканирует сеть и пытается передать заражение дальше. Касперский доблестно отбивает атаки.
Хм...ну наверно:unknw:

т.е. все вопросы к провайдеру? или забить?
 

akok

Команда форума
Администратор
Сообщения
15,591
Симпатии
12,652
Баллы
2,203
#9
т.е. все вопросы к провайдеру? или забить?
Локальная сеть провайдера большая? Если большая, то жалобу скорее всего проигнорируют.

Установите блокировку КИС атакующего компьютера не 60 минут, а например 420.

И прочтите эту тему возмите рекомендации по защите компьютера от этого зловреда (если они еще не выполнены).
 

Slue

Активный пользователь
Сообщения
6
Симпатии
0
Баллы
301
#10
Локальная сеть провайдера большая? Если большая, то жалобу скорее всего проигнорируют.
не думаю, что большая, у нас город сам по себе не большой, так что напишу им заметку

И прочтите эту тему возмите рекомендации по защите компьютера от этого зловреда (если они еще не выполнены).
не могу пройти по ссылке

Slue, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чьё-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
Вы пытаетесь написать сообщение, но ваш аккаунт отключён администрацией или ожидает активации.
 

Slue

Активный пользователь
Сообщения
6
Симпатии
0
Баллы
301
#12
Всем привет!!
У меня после всех сканирований по теме, на диске D появились 2 папки 'RECYCLER' и '$RECYCLE.BIN'
Что это и есть ли необходимость что-либо предпринять?
 

akok

Команда форума
Администратор
Сообщения
15,591
Симпатии
12,652
Баллы
2,203
#13
Slue, это папки "Корзины".
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу