Эту тему я уже поднимал на avast.ru, но ребята не смогли мне помочь.
Windows XP SP2 (build 2002)
Avast 4.7 Home (4.7.1001)
VPS 000757-2
Firewall - сейчас Комодо (на момент обнаружения проблемы не было ничего)
Повторюсь: "Три дня назад обратил внимание на значек АвастМейлСканера в трее, он усиленно проверял исходящую почту. Почту я не отправлял и это было подозрительно. Посмотрел в лог и - мама-мия!!! Тонны спама!
Были запущены Аваст и АВЗ - результат нулевой."
Спам уходит в виде пакетов ICMP Type:3 Code:3
Также при каждом соединении svchost желает отправить UDP пакет для: 239.255.255.250::upnp-mcast(1900)
Рассылка спама происходит не при каждом соединении, а по получении неких управляющих пакетов.
Через несколько минут приделаю логи.
................. готово.
Последний раз редактировалось Аксель; 17.07.2007 в 17:02.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Система будет перезагружена. После перезагрузки, содержимое карантина AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=11110 , как написано в прил.3 правил , и сделайте новые логи, начиная с п. 10 правил. Попутно вопросы: видны симантек и аваст - кто из них живой?
Можно, но лучше выгрузить - логи получаются меньше, их легче читать. Карантин дошел. OAARXRUC.exe оказался от rootkit revealer-а от sysinternals - ваша правда Тогда просьба: дополнительно к логу исследования системы и логу hijackthis, сделайте логи, которые описаны здесь - http://virusinfo.info/showthread.php?t=10387 В безопасном режиме при этом перезагружаться необязательно.
Повторюсь: "Три дня назад обратил внимание на значек АвастМейлСканера в трее, он усиленно проверял исходящую почту. Почту я не отправлял и это было подозрительно. Посмотрел в лог и - мама-мия!!! Тонны спама!
Периодически, при подключении к интернету, включается сканер почты Аваста.
Всплывающее информационное окошко показывает почтовые пакеты, уходящие по разным адресам (от А до Z), с заголовками призывающими купить средства для увеличения [BLOCKED] (в основном) или Виагру.
Резко падает скорость соединения и исходящий трафик увеличивеатся вдвое по сравнению с входящим.
Последний раз редактировалось Макcим; 17.07.2007 в 20:41.
Не решена проблема - похоже, видно заразу Пожалуйста, сделайте следующее: на время выполнения скрипта, отключитесь от сети, отключите монитор avast!-а и восстановление системы. Далее: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
После перезагрузки, пришлите содержимое карантина, как написано в прил. 3 правил. После сервиса от sysinternals боюсь удалять сразу, но на 90% это тот зверь , который и предлагает удлиннить *censored* . Вдобавок, еще вопрос: на машине были когда-нибудь установлены какие нибудь программы от Citrix Systems ?
Последний раз редактировалось Numb; 18.07.2007 в 00:34.
При выполнении скрипта, в окне исполнения процесса, были видны "ругательства" АВЗ. Но все происходило так быстро, что детально рассмотреть информацию не представлялось возможным.
Вопрос: Найти средствами АВЗ и отправить искомый файл можно?
Добавлено через 2 минуты
Собственно, попробовал найти runtime2.sys, при помощи АВЗ - результат нулевой.
Последний раз редактировалось Аксель; 18.07.2007 в 01:12.
Причина: Добавлено сообщение
Уважаемый(ая) Аксель, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: