[Access Denied]

DRadmin

Спасибо!
Переустановка - это конечно радикально
Антивирь-то как раз есть, и работающий. Похоже и правда малораспространенная зараза...

[Borodunter]

Была такая же ситуация в соседней конторе буквально вчера.
Это не вирус, а видимо какой-то внешний спам-бот, который юзал почтовый релэй и забивал весь канал, доступный для SMTP-трафика.
решилась проблема путем настройки правил фаервола, который отсекал этого бота.
PS: юзайте UNIX

[Access Denied]

Запустил sfc /scannow
Вроде бы помогло - попыток коннектится нет. Открыл машине доступ на файрволе. Вроде бы пока никакой рассылки.
(Правда не перегружался еще )

[DRadmin]

Цитата Borodunter:

Была такая же ситуация в соседней конторе буквально вчера. Это не вирус, а видимо какой-то внешний спам-бот, который юзал почтовый релэй и забивал весь канал, доступный для SMTP-трафика. решилась проблема путем настройки правил фаервола, который отсекал этого бота. PS: юзайте UNIX

Это не вирус, а троян. Да, он спамбот, но закрыв доступ на файрволе, мы отсекаем попытки законнектиться с папой, но не убиваем заразу на нашем компе. Я тоже так сделала, закрыв IP и порт 7711. При этом "бедняга" каждые 20 секунд пытается выйти в инет, что ни есть хорошо.
UNIX это хорошо, согласна. Вот осваиваем потихоньку. Но ведь и его надо юзать по уму, а не просто поставить себе линух и радоваться жизни. Апдейты никто не отменял и правильные настройки служб/сервисов - тоже.
.

Цитата Access Denied:

Запустил sfc /scannow Вроде бы помогло - попыток коннектится нет.

Хорошо, что сканирование помогло, если помогло А если нет и опять начнутся коннекты к "папе", то можете снести свой антивирь и поставить NOD32, который поймает шпиона за хвост и скажет его имя, которое я пока не нашла А потом с тем же успехом можно снести NOD32 и поставить родной антивирь!

[sergey_dsv]

Цитата:

18:57:41.606790 IP 10.0.5.248.3414 > 72.20.5.106.domain: S 4104539351:4104539351(0) win 16384 <mss 1460,nop,nop,sackOK> 18:57:41.606994 IP 10.0.5.248.3415 > 72.20.5.106.domain: S 4104599505:4104599505(0) win 16384 <mss 1460,nop,nop,sackOK> 18:57:41.607159 IP 10.0.5.248.3417 > 72.20.5.106.domain: S 4104662479:4104662479(0) win 16384 <mss 1460,nop,nop,sackOK> 18:57:41.607220 IP 10.0.5.248.3418 > 72.20.5.106.domain: S 4104697222:4104697222(0) win 16384 <mss 1460,nop,nop,sackOK> 18:57:41.607304 IP 10.0.5.248.3419 > 72.20.5.106.domain: S 4104730576:4104730576(0) win 16384 <mss 1460,nop,nop,sackOK> 18:57:41.607440 IP 10.0.5.248.3421 > 72.20.5.106.domain: S 4104784650:4104784650(0) win 16384 <mss 1460,nop,nop,sackOK> 18:57:41.607534 IP 10.0.5.248.3422 > 72.20.5.106.domain: S 4104832162:4104832162(0) win 16384 <mss 1460,nop,nop,sackOK> 18:57:41.607623 IP 10.0.5.248.3423 > 72.20.5.106.domain: S 4104882446:4104882446(0) win 16384 <mss 1460,nop,nop,sackOK> 18:57:41.607687 IP 10.0.5.248.3424 > 72.20.5.106.domain: S 4104931196:4104931196(0) win 16384 <mss 1460,nop,nop,sackOK>

Вот маленький фрагмент лога вирусной атаки с абонентской машины в нашей локальной сети. Таких логов в последнее время накопилось очень много. Причем активность резко возрастает примерно 19,00 до 21,00. Довольно не плохо с этой бедой справляется NOD 32 с обнавленными базами т.е. он непропускает на компьютер этого червя. А для удаления используем утилиту removeit_pro.exe
http://www.download3k.com/Install-Re...o-XT2a-SE.html

[Access Denied]

DRadmin

Хорошо, что сканирование помогло, если помогло

Вроде бы пока все ОК. После перезагрузок активности не замечено

[SergOst]

Про этот вирус от 28.01.07:

У Касперского он называется Trojan-Proxy.Win32.Dlena.bv
создает файл rpcc.dll папке %system%\system32 и ветку реестра HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc, из которой запускается при старте системы и творит спам-рассылку.
(ветку и файл можно вручную удалить в безопасном режиме)
Его предшественниками являются Downloader(Symantec его обнаруживает давно, но толкового описания и лечения не придумал, потому что он до обнаружения иногда успевает гадость какую-нибудь сделать) и Trojan.Goldun.

Symantec с его лечением на этот раз сильно опоздал.
29.01 я нашел его вручную, проверил в онлайне находку у Касперского и DRWeb(имя Spambot) и сообщил техслужбе Symantec, надеялся, что они включат его обнаружение в virus definitions от 31.01.07, но они тупо не включили, формально отписались.
NAV его не сканировал. Только в обновлении Symantec от 07.02.07 появилось его обнаружение, но опять же без конкретных ссылок на ветки реестра. Очень печально.
Возможно вирус российского происхождения, учитывая что Касперский и DRWeb его первыми выловили.

[med0ff]

Всем привет...возникла такая проблема, все инсталяционные файлы на компьютере заражены, то есть ты на них нажимаешь и ноль реакции, также после скачивания новых, на следущий день или даже вечером они опять оказываются заражены, перед этим появлялась (уже 4 дня не появлялась, но после неё файлы заражались) ошибка syshost.exe и указывался путь к какому-либо файлу (вообще рандомно) после этого иконка этого файла пропадала и файл нельзя было запустить...юзаю KIS 6, он ничего не нашёл, жду помощи ибо что делать незнаю...

В процессах syshost нету...

[SimSim]

med0ffЭто червяк, известный под именем Net-Worm.Win32.Francette.a Причём очень старый.

При запуске червь регистрирует себя в ключе автозапуска:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft IIS"="syshost.exe"

Создайте на заведомо "чистом" компьютере восстановительный диск антивирусом Касперского. Что делать дальше, думаю рассказывать не надо. Удачи.

[med0ff]

simsim спасибо я уже разобрался, но не могу понять где я его цепляю, 2 раза уже удалял, он опять появляется, с чем это может быть связано?