Добрый день!
Файервол фиксирует регулярную (каждые 5 секунд) отправку в интернет пакетов на разные (но похожие) адреса, на 80-й порт. Отправка происходит от имени Winlogon.exe.
Dr.Web, AdAware и AVZ ничего подозрительного не находят.
ОС - WindowsXP SP2.
Логи прилагаю.
Спасибо
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Компьютер перезагрузится.
Пришлите карантин согласно приложению 2 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=30931).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Всё выполнено, как написали.
Пакеты в интернет посылаться перестали.
Остальное - не очень хорошо:
1. Вход в систему - с большой задержкой (порядка 10 секунд тормозов после ввода пароля).
2. Сразу после входа Dr.Web сообщил о зараженном файле /system32/winnt64.dll и по моей команде его исцелил.
3. Браузер (IE и Maxthon) не реагирует на ввод адреса. Просто ничего не делает и ничего не сообщает.
4. В системном журнале - множество ошибок:
а) таймаут ожидания ответа при транзакции от службы TapiSrv
б) служба "Диспетчер подключений одаленного доступа" зависит от службы "Телефония", которую не удалось запустить.
в) сбой при запуске службы "Телефония"
г) не удалось запустить службу "обозреватель компьютеров"
д) не удалось запустить службу "маршрутизация и удаленный доступ"
--------
Поправка: браузер всё-таки открыл страничку в интернете, но делал это минут 15. При обращении к свойствам IE он зависает.
-------------
Прикрепляю новые логи и уповаю на помощь, ибо очень не хотелось бы остаться на выходные без компьютера.
Карантин тоже был выслан как велено.
Последний раз редактировалось Urmila; 26.09.2008 в 12:04.
Как-то полегчало
При входе в систему не тупит.
Браузер заработал.
Ошибки из системного лога исчезли.
Карантин выслан...
А что стало с моим процесс_киллером? Неужели это он был виноват?? Он мне так давно служил верой и правдой...
Многие малвары используют процескиллер. У вас видимо конфликт его с аутпостом.
Аутпост на той машине не нужен, он был поставлен только для того, чтобы вычислить - кто шлёт пакеты.
Значит если аутпост снести, то можно процесскиллер вернуть на место?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: