-
Junior Member
- Вес репутации
- 61
При подключении к инету лезут странные .ехе в C:\Temp
Очень странная штука получается. При каждом подключении к инету по прошествии нескольких минут мой McAfee On-Acess Scan отлавливает файлы типа 389950.exe, 241026.exe, 305619.exe и т.п. в папке С:\Temp, классифицируя их как Spy-Agent.bv (Trojan). Проходит после этого минут 10, иногда больше - и инет полностью "выкашивается", то есть ни одна страница больше не открывается, а уже открытые херятся. Но странное дело - если что-то себе тихенько качается в это время на заднем плане - то этот процесс не прерывается. Из наблюдений: если пользоваться IE - беда приходит почти сразу; если mozillой и при этом в McAfee Firewall перекрыть IE все контакты с инетом - херится чуть позже, но херится тоже.
Подскажите, пожалуйста, где искать проблему?
Последний раз редактировалось d.schmitz; 18.03.2010 в 22:28.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
BC_QrSvc('DS1410D');
BC_QrSvc('firelm01');
BC_QrSvc('runtime');
BC_QrSvc('runtime2');
BC_QrSvc('smtpdrv');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('smtpdrv');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Сделал и прислал. Вот, пожалуйста.
Последний раз редактировалось Shu_b; 21.09.2007 в 08:38.
-
d.schmitz -уберите карантин из темы и загрузите по правилам ...
-
-
Junior Member
- Вес репутации
- 61
загружал по правилам. три раза уже видел сообщение, что файл успешно закачан.
-
ваш карантин пустой ... повторите логи ...
-
-
Найдите вручную, через AVZ файлы:
C:\WINDOWS\system32\drivers\firelm01.sys
C:\WINDOWS\system32\drivers\ds1410d.sys
и пришлите их согласно приложению 2 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Bratez, два запрошенных Вами файла нашел и прислал.
-
по вирустотал ...
C:\WINDOWS\system32\drivers\firelm01.sys -чистый
C:\WINDOWS\system32\drivers\ds1410d.sys -чистый
повторите логи ...
-
-
Junior Member
- Вес репутации
- 61
вот, прилагаю новые логи. по-моему, в ходе выполнения скрипта лечения дрянь была удалена, потому как с тех пор ее не видел.
Последний раз редактировалось d.schmitz; 18.03.2010 в 22:28.
-
Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
Пришлите файл:
C:\WINDOWS\winstart.bat
Посмотрите, что из этого списка вам нужно, остальное будем править:
Код:
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
startdrv профиксил, winstart прилагаю
из указанного Вами списка от всего могу отказаться.
Последний раз редактировалось Shu_b; 25.09.2007 в 21:54.
-
C:\WINDOWS\tmpcpyis.bat - а вот это что?
Присылайте теперь его.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 61
присылаю tmpcpyis.bat, с ним рядом лежит еще один похожий: TMPDELIS.bat - может, его товарищ. шлю на всякий случай и его
Последний раз редактировалось Shu_b; 25.09.2007 в 21:53.
-
-
-
Junior Member
- Вес репутации
- 61
ой, простите! теперь куда нужно прислал
-
Выполните скрипт:
Код:
begin
DeleteFile('C:\WINDOWS\tmpcpyis.bat');
DeleteFile('C:\WINDOWS\winstart.bat');
DeleteFile('C:\WINDOWS\tmpdelis.bat');
ExecuteSysClean;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','AutoAdminLogon', '0');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
RebootWindows(true);
end.
После перезагрузки сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
скрипт выполнил, логи прилагаю. а запуск винды без запроса пароля я бы все-таки вернул. если несложно, выложите, пожалуйста скрипт с соответствующими значениями реестра.
Последний раз редактировалось d.schmitz; 18.03.2010 в 22:28.
-
Код:
begin
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','AutoAdminLogon', '1');
end.
Добавлено через 3 минуты
В логах все чисто.
Последний раз редактировалось Bratez; 27.09.2007 в 14:36.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
сердечно благодарю за помощь в борьбе с заразой!