Добрый день!
Файервол фиксирует регулярную (каждые 5 секунд) отправку в интернет пакетов на разные (но похожие) адреса, на 80-й порт. Отправка происходит от имени Winlogon.exe.
Dr.Web, AdAware и AVZ ничего подозрительного не находят.
ОС - WindowsXP SP2.
Логи прилагаю.
Спасибо
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe O4 - HKLM\..\Run: [fxfmfd] C:\WINDOWS\system32\fxfmfd.exe \u O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\SYSTEM32\WinNt64.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\fxfmfd.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Nac53.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Lbo47.sys',''); QuarantineFile('C:\WINDOWS\system32\WinNt64.dll',''); DeleteFile('C:\WINDOWS\system32\WinNt64.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Lbo47.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Nac53.sys'); DeleteFile('C:\WINDOWS\system32\fxfmfd.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 2 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=30931).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Всё выполнено, как написали.
Пакеты в интернет посылаться перестали.
Остальное - не очень хорошо:
1. Вход в систему - с большой задержкой (порядка 10 секунд тормозов после ввода пароля).
2. Сразу после входа Dr.Web сообщил о зараженном файле /system32/winnt64.dll и по моей команде его исцелил.
3. Браузер (IE и Maxthon) не реагирует на ввод адреса. Просто ничего не делает и ничего не сообщает.
4. В системном журнале - множество ошибок:
а) таймаут ожидания ответа при транзакции от службы TapiSrv
б) служба "Диспетчер подключений одаленного доступа" зависит от службы "Телефония", которую не удалось запустить.
в) сбой при запуске службы "Телефония"
г) не удалось запустить службу "обозреватель компьютеров"
д) не удалось запустить службу "маршрутизация и удаленный доступ"
--------
Поправка: браузер всё-таки открыл страничку в интернете, но делал это минут 15. При обращении к свойствам IE он зависает.
-------------
Прикрепляю новые логи и уповаю на помощь, ибо очень не хотелось бы остаться на выходные без компьютера.
Карантин тоже был выслан как велено.
Последний раз редактировалось Urmila; 26.09.2008 в 12:04.
1. Пофиксить:
2. выполните скрипт:Код:O4 - HKLM\..\Run: [prkiller] C:\Program Files\misc\prkiller.exe
3. Карантин по правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\misc\prkiller.exe',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Как-то полегчало
При входе в систему не тупит.
Браузер заработал.
Ошибки из системного лога исчезли.
Карантин выслан...
А что стало с моим процесс_киллером? Неужели это он был виноват?? Он мне так давно служил верой и правдой...
Многие малвары используют процескиллер. У вас видимо конфликт его с аутпостом.
Аутпост на той машине не нужен, он был поставлен только для того, чтобы вычислить - кто шлёт пакеты.Сообщение от Alex_Goodwin
Значит если аутпост снести, то можно процесскиллер вернуть на место?
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Urmila, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
