Согласно avz4, svchost.exe пытается соединиться по 80 порту с хостом 61.139.126.11
Делает он эти попытки постоянно, как только подключаюсь к инету
Антивирусы DrWeb и Касперский, а также AVZ4 - говорят "всё чисто" при проверке дисков и памяти.
Вопрос такой - как отследить, что за прога посылает запросы?
Точнее, как я понимаю, это ломится какой-то сервис?
P.S. WindowsXP SP2 со всеми обновлениями.
Последний раз редактировалось Wowa84; 06.11.2007 в 22:17.
Причина: Поспешил малость :\
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Причина моего беспокойства описана в первом посте.
Логи собрал.
Машина обвешана девайсами, как новогодняя ёлка, но последнюю неделю изменений в конфигурацию не вносились точно.
Возникнут затруднения по драйверам - спрашивайте, отвечу без труда.
Касперский ни на один из файлов не прореагировал... пойду на вирустотале прогоню
C:\Program Files\WIDCOMM\Bluetooth Software\btkeyind.dll
C:\WINDOWS\system32\drwat.exe
C:\WINDOWS\system32\MA2_6.scr
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\system32\DRIVERS\tcpip.sys
C:\WINDOWS\system32\vfpdata.dll
C:\WINDOWS\system32\wgalogon.dll
Давайте так пробовать: на время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор(если есть). Программа AVZ - файл - выполнит скрипт - выполните следующий скрипт:
Система будет перезагружена. После перезагрузки, пришлите снова карантин AVZ, повторите логи, начиная с п. 10 правил и , в дополнение, сделайте лог, о котором написано здесь: http://virusinfo.info/showthread.php?t=10387
Результат загрузки
Файл сохранён как
071106_171813_virus_4730f63557fe2.zip
Размер файла
12487
MD5
f2d0007cea63aa8589808cfc5859d4e8
ctspkhlp.dll относится к пакету драйверов для Creative Labs Audigy 2
Хотя после общения с вами я уже ни в чем не уверен.
Файл удалил. Ломиться перестало.
Но возникли ошибки при выполнении ваших инструкций:
1. При выполнении скрипта на команде ExecuteSysClean появилось окно [Invalid datatype for "] (AVZ версии 4.27) и скрипт перестал выполнятся, то есть ребут пришлось делать "вручную".
2. Во время ребута комп завис - отображаются обои стола, курсор перемещается. Спас только ресет.
3. При выполнении п.1 для формирования лога в SafeMode в логе АВЗ:
1.2 Поиск перехватчиков API, работающих в KernelMode
Дравер успешно загружен
Ошибка обмена с драйвером [00000002] - [1]
1.4...
(пункта 1.3 не было)
begin
QuarantineFile('C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys','');
DeleteFile('C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
C:\WINDOWS\system32\vfpdata.dll
C:\WINDOWS\system32\drwat.exe
Детектят Касперским как Trojan.Win32.Agent.cnw
Моё доверие дядя Каспер потерял в начале 2007 года, когда инфицирование компьютера произошло в субботу вечеров (KAV сказал "Файл чист"), а распознование данного вируса в БД KAV'а появилось только на следующей неделе в четверг вечером.
Уклон данного антивиря на предотвращение заражения неизвестным вирусом ведет к ложным срабатываниям, делая из пользователя параноика. А изменение дефолтовых правил ведет к заражению компьютера. Из-за данного "уклона" KAV стал беззубым антивирем, который нынче не в состоянии вылечить уже зараженный компьютер и устранить последствия заражения.
Хех, в своё время я перешел на него, отказавшись от DrWeb. Ныне Каспер от меня не получит и рубля
Сообщение от V_Bond
выполните скрипт в Safe Mode
Код:
begin
QuarantineFile('C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys','');
DeleteFile('C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
При выполнении данного скрипта вновь появляется окно с ошибкой
[Invalid datatype for "] на команде ExecuteSysClean
Лог выполнения скрипта:
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys)
Карантин с использованием прямого чтения - ошибка
Удаление файла:C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys
>>>Для удаления файла C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ
-------------
На этом скрипт прерывается.
В карантине ничего нет.
Лог при выполнении стандартного скрипта "Поиск и нейтрализация RootKit UserMode и KernelMode" в защищенном режиме:
Выполняется стандартный скрипт: 1. Поиск и нейтрализации RootKit UserMode и KernelMode
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] - [1]
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Данная ошибка обмена - это нормально?
В нормальном режиме этот скрипт отрабатывается без ошибки.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RenameFile('C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys', 'C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.bak');
BC_QrFile('C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.bak');
BC_DeleteFile('C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys');
BC_DeleteFile('C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.bak'');
BC_DeleteFile('C:\Documents and Settings\Wasly\Application Data\hidires\hidn.exe');
BC_DeleteFile('C:\Documents and Settings\Wasly\Application Data\hidires\hidires.exe');
BC_DeleteFile('C:\temp.zip');
BC_DeleteFile('C:\WINDOWS\system32\re_file.exe');
BC_DeleteSvc('m_hook');
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил...
повторите лог ... в SafeMode
Последний раз редактировалось V_Bond; 08.11.2007 в 11:06.
AVZ -сервис -диспетчера процессов остановить маскирующийся процесс hidn.exe или hidires.exe
затем выполните скрипт из поста 18 ....
повторите лог ... в SafeMode
Последний раз редактировалось V_Bond; 08.11.2007 в 10:52.
Уважаемый(ая) Wowa84, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: