Вообщем ситуация такая. Сегодня стал блокироватся весь трафик http и почты. Вычислил из-за чего, оказалось виноват файл svho.exe в системной папке винды ХП2. Он мало того блокировал трафик, так еще и прослушивал фтп порты:
Если файл переместить в другой каталог, то при запуске он сам себя перемещает в системную папку.
Высылать файл на анализ или кто нить знает что это такое. Да и еще ни NOD32, ни Касперский, ни AVZ на него ничего не сказали. У всех базы новые.
Да и еще он сам себя в автозагрузку ставит. В автозагрузке он себя обзывает "System Service Manager Device". Еще он сам себя сделал скрытым файлом и поставил атрибут "Только для чтения". Вот ведь гад какой.
Последний раз редактировалось DJRelax; 26.12.2007 в 14:20.
Причина: Добавлено
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Мне помощь не нужна, я от него избавился. Я предлогаю файл для анализа. За точто картинку опубликовал в сообщение, сорри, просто окно добавления файлов к сообщению у меня не открывалось, как оказалось из-за этого файлика.
Еще что удалось выяснить: На компе который заразился так же появился файлик в автозагрузке "msmsgrs.exe" который находился в папке винды и видимо он и был начальным файлом. Так как если даже удалить "svho.exe" то все равно после перезагрузки он появляется и стартует и еще к тому же создает в корне загрузочного диска файлы вида: "00000a.exe", "0000a.exe", это его копии переименнованые. И пока не удалить файл "msmsgrs.exe", то все это будет повторятся.
Прикрепил логи. Правда в них ничего существенного, так три антивируса(включая AVZ) ничего не нашли. Файл карантина AVZ пустой. Если потребуется могу и файл "msmsgrs.exe" выложить/отправить.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: