новый (?) вирус, рассылающий рекламу, KAV пока не ловит.
у нас с содедями сеть и интернет через adsl. Доступ _тупо_ через шлюз, и однажды я заметил, что
соседский комп генерирует исходящий трафик на весь канал (128к), хотя девочка сидела только в аське...
можете себе представить сколько мб утелко в сеть....
поскольку средствами adsl модема не удалось ничего выяснить пришлось поставить commview, сменить
мой ip на ip шлюза и узреть тысячи попыток подцепиться к различным smtp серверам и отправку вот
например такого
Пакет #870, Направление: Вход., Время: 23:33:12,993922, Размер: 590
Ethernet II
Destination MAC: 00:10:4B:2E:44:BA
Source MAC: 00:14:85:8D:62:32
Ethertype: 0x0800 (204 - IP
IP
IP version: 0x04 (4)
Header length: 0x05 (5) - 20 bytes
Differentiated Services Field: 0x00 (0)
Differentiated Services Code Point: 000000 - Default
ECN-ECT: 0
ECN-CE: 0
Total length: 0x0240 (576)
ID: 0xD416 (54294)
Flags
Don't fragment bit: 0 - May fragment
More fragments bit: 0 - Last fragment
Fragment offset: 0x0000 (0)
Time to live: 0x80 (12
Protocol: 0x06 (6) - TCP
Checksum: 0xDD74 (56692) - correct
Source IP: 192.168.1.27
Destination IP: 194.103.3.2
IP Options: None
TCP
Source port: 53164
Destination port: 25
Sequence: 0x01B0ED32 (28372274)
Acknowledgement: 0x5303BFAB (1392754603)
Header length: 0x05 (5) - 20 bytes
Flags: ACK
URG: 0
ACK: 1
PSH: 0
RST: 0
SYN: 0
FIN: 0
Window: 0x5DC0 (24000)
Checksum: 0x5229 (21033) - correct
Urgent Pointer: 0x0000 (0)
TCP Options: None
SMTP
Data
Microsoft MimeOLE V6.00.3790.2757
так же были соединения на порт 4099 какого-то из этих ip (забыл записать какого именно):
208.72.169.136
64.12.161.185
205.188.7.198
Комп был _пролечен_ касперским, avz, nod32, cureit,
один только касперский убил 408 тел вирусов, вроде всё стало тихо, но
сейчас при включении через где-то полчаса спокойствия начинается снова генерироваться.
И сейчас Касперский ничего не находит.
похоже на разновидность
Trojan-Proxy.Win32.Xorpix.v
Поведение Trojan-Proxy, троянский proxy-сервер
Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера. Является приложением Windows (PE EXE-файл). Имеет размер около 15 КБ. Написана на Visual C++. Упакована при помощи UPack, размер распакованного файла - около 258 КБ.
Инсталляция
После запуска троянец создает в папке %Documents and Settings%\%All Users%\%Common Documents%\Settings файлы polymorph.dll и desktop.ini. Файлы имеют атрибут <скрытый>.
я так подумал по симптомам поведения компа и потому, что касперский прибил именно такой файл.
Сейчас я заблокировал на модеме 25 и 4099 порты для бедных моих соседушек, но трафик
посторонний иногда ещё хоть и маленький, но есть.
Надеюсь нормально описал симпотмы заражения?
Не получается выполнить 8й пункт.
8. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.
- система падает в bsod, не как обычно irq_not_less_or_equal и т.д., а там никаких имён файлов,
просто мол ошибка и если повторится - обращайтесь...пробовали 4 раза.
Помогите пожалуйста отыскать зверя и я с радостью вышлю его вам для опытов, даже если
придётся к девочке идти, а не по аське и телефону обьяснять
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
не получается выполнить "ещё один". нашли отсутствие ';' в 12 строке, поправили - система падает в синий экран после или во время того как полосочка пробегает 2й раз. пробовали несколько раз - в одном и том же месте падает. в защищённом режиме не можем загрузиться, т.к. клавиши Fx почему-то перепутаны (в фаре нажимаю alt+f1 - делает не то, такое чувство или сдвинулись ф-ии или шифт залип, хотя все остальные рормально работают).
видимо придётся несит др. клавиатуру
Добавлено через 1 минуту
каспер итак вроде не плохой (6-я версия, обновляется ежечасно)
Последний раз редактировалось BsB5068; 14.10.2007 в 21:14.
Причина: Добавлено
делаем первый - падаем в синий...
второй делаем без
SearchRootkit(true, true);
SetAVZGuardStatus(true);
насколько я понял из пред. постов из-за этих строк мы ловим синий экран..
собираем логи....(девочка не шустро всё делает ; )
Модули пространства ядра
Модуль Базовый адрес Размер в памяти Описание Производитель
\SystemRoot\System32\Drivers\a5fl5mcm.SYS
Скрипт: Kарантин, Удалить, Удалить через BC F7924000 04A000 (303104)
в другом уже
Модули пространства ядра
Модуль Базовый адрес Размер в памяти Описание Производитель
\SystemRoot\System32\Drivers\aetgixv6.SYS
Скрипт: Kарантин, Удалить, Удалить через BC F7912000 04A000 (303104)
в логах чисто что касается драйверов это от демона он при каждой загрузке создает новый со случайным именем ....
что за демон? sptd.sys?
я правильно понял что чистка должна пройти успешно?
ps: у девочки почему-то ещё copy-paste через раз то работало, то не работало...приходилось перезагружаться, может ещё что-то перевралось в скриптах при переносе из аськи в AVZ?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: