Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

При подключении к инету лезут странные .ехе в C:\Temp (заявка № 12603)

  1. #1
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61

    Thumbs up При подключении к инету лезут странные .ехе в C:\Temp

    Очень странная штука получается. При каждом подключении к инету по прошествии нескольких минут мой McAfee On-Acess Scan отлавливает файлы типа 389950.exe, 241026.exe, 305619.exe и т.п. в папке С:\Temp, классифицируя их как Spy-Agent.bv (Trojan). Проходит после этого минут 10, иногда больше - и инет полностью "выкашивается", то есть ни одна страница больше не открывается, а уже открытые херятся. Но странное дело - если что-то себе тихенько качается в это время на заднем плане - то этот процесс не прерывается. Из наблюдений: если пользоваться IE - беда приходит почти сразу; если mozillой и при этом в McAfee Firewall перекрыть IE все контакты с инетом - херится чуть позже, но херится тоже.

    Подскажите, пожалуйста, где искать проблему?
    Последний раз редактировалось d.schmitz; 18.03.2010 в 22:28.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
     BC_QrSvc('DS1410D');
     BC_QrSvc('firelm01');
     BC_QrSvc('runtime');
     BC_QrSvc('runtime2');
     BC_QrSvc('smtpdrv');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('smtpdrv');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61
    Сделал и прислал. Вот, пожалуйста.
    Последний раз редактировалось Shu_b; 21.09.2007 в 08:38.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    d.schmitz -уберите карантин из темы и загрузите по правилам ...

  6. #5
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61
    загружал по правилам. три раза уже видел сообщение, что файл успешно закачан.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    ваш карантин пустой ... повторите логи ...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Найдите вручную, через AVZ файлы:
    C:\WINDOWS\system32\drivers\firelm01.sys
    C:\WINDOWS\system32\drivers\ds1410d.sys
    и пришлите их согласно приложению 2 правил.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61
    Bratez, два запрошенных Вами файла нашел и прислал.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    по вирустотал ...
    C:\WINDOWS\system32\drivers\firelm01.sys -чистый
    C:\WINDOWS\system32\drivers\ds1410d.sys -чистый
    повторите логи ...

  11. #10
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61
    вот, прилагаю новые логи. по-моему, в ходе выполнения скрипта лечения дрянь была удалена, потому как с тех пор ее не видел.
    Последний раз редактировалось d.schmitz; 18.03.2010 в 22:28.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    Пришлите файл:
    C:\WINDOWS\winstart.bat

    Посмотрите, что из этого списка вам нужно, остальное будем править:
    Код:
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: разрешен автоматический вход в систему
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61
    startdrv профиксил, winstart прилагаю

    из указанного Вами списка от всего могу отказаться.
    Последний раз редактировалось Shu_b; 25.09.2007 в 21:54.

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    C:\WINDOWS\tmpcpyis.bat - а вот это что?
    Присылайте теперь его.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61
    присылаю tmpcpyis.bat, с ним рядом лежит еще один похожий: TMPDELIS.bat - может, его товарищ. шлю на всякий случай и его
    Последний раз редактировалось Shu_b; 25.09.2007 в 21:53.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    файлы нужно присылать туда - http://virusinfo.info/upload_virus.php?tid=12603

  17. #16
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61
    ой, простите! теперь куда нужно прислал

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт:
    Код:
    begin
    DeleteFile('C:\WINDOWS\tmpcpyis.bat');
    DeleteFile('C:\WINDOWS\winstart.bat');
    DeleteFile('C:\WINDOWS\tmpdelis.bat');
    ExecuteSysClean;
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','AutoAdminLogon', '0');
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    RebootWindows(true);
    end.
    После перезагрузки сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61
    скрипт выполнил, логи прилагаю. а запуск винды без запроса пароля я бы все-таки вернул. если несложно, выложите, пожалуйста скрипт с соответствующими значениями реестра.
    Последний раз редактировалось d.schmitz; 18.03.2010 в 22:28.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Код:
    begin
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','AutoAdminLogon', '1');
    end.
    Добавлено через 3 минуты

    В логах все чисто.
    Последний раз редактировалось Bratez; 27.09.2007 в 14:36. Причина: Добавлено
    I am not young enough to know everything...

  21. #20
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    61
    сердечно благодарю за помощь в борьбе с заразой!

  • Уважаемый(ая) d.schmitz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 09.06.2010, 13:59
    2. Ответов: 6
      Последнее сообщение: 06.03.2010, 21:08
    3. тормоза при подключении к инету
      От Чижъ в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 04.01.2010, 16:40
    4. Ответов: 8
      Последнее сообщение: 22.02.2009, 02:08
    5. Ответов: 1
      Последнее сообщение: 31.01.2009, 14:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01583 seconds with 19 queries