Drweb молчит , коннектов очень много, и опять svchost.exe.
P.S. Такое ощущение что DDOS идет по 80 порту.
Drweb молчит , коннектов очень много, и опять svchost.exe.
P.S. Такое ощущение что DDOS идет по 80 порту.
Последний раз редактировалось aqua; 05.04.2008 в 21:52.
Spybot - удалить ...
антивирус давно обновляли ?
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('wowfx.dll',''); QuarantineFile('LogCrypt.dll',''); QuarantineFile('C:\Documents and Settings\Pasha1\Local Settings\Application Data\spool.exe',''); BC_DeleteSvc('symavc32'); QuarantineFile('C:\WINNT\system32\drivers\symavc32.sys',''); BC_DeleteSvc('smtpdrv'); QuarantineFile('C:\WINNT\system32\DRIVERS\smtpdrv.sys',''); BC_DeleteSvc('runtime2'); QuarantineFile('C:\WINNT\system32\drivers\runtime2.sys',''); BC_DeleteSvc('dipertoeb9-4d83'); BC_DeleteSvc('diperto5ab3-589a'); QuarantineFile('C:\WINNT\system32\diperto5ab3-589a.sys',''); BC_DeleteSvc('asc3550p'); BC_DeleteSvc('AdvPowerMgmt'); BC_DeleteSvc('LmHostsProtectedStorage'); QuarantineFile('C:\WINNT\TEMP\880441871.exe',''); BC_DeleteSvc('Schedule'); QuarantineFile('C:\WINNT\system32\drivers\ctfmon.exe',''); BC_DeleteSvc('msupdate'); QuarantineFile('c:\winnt\system32\..\svchost.exe',''); BC_DeleteSvc('l33t'); QuarantineFile('C:\WINNT\system32\l33t.exe',''); BC_DeleteSvc('CcEvtSvc'); QuarantineFile('C:\WINNT\System32\CcEvtSvc.exe',''); BC_DeleteSvc('1Google Online Search Service'); QuarantineFile('C:\WINNT\system32\winlegal.exe',''); QuarantineFile('C:\WINNT\system32\powermgmt.sys',''); QuarantineFile('C:\WINNT\system32\wzcsvcv.dll',''); DeleteFile('C:\WINNT\system32\wzcsvcv.dll'); DeleteFile('C:\WINNT\system32\powermgmt.sys'); DeleteFile('C:\WINNT\system32\winlegal.exe'); DeleteFile('C:\WINNT\System32\CcEvtSvc.exe'); DeleteFile('C:\WINNT\system32\l33t.exe'); DeleteFile('c:\winnt\system32\..\svchost.exe'); DeleteFile('C:\WINNT\system32\drivers\ctfmon.exe'); DeleteFile('C:\WINNT\TEMP\880441871.exe'); DeleteFile('C:\WINNT\system32\diperto5ab3-589a.sys'); DeleteFile('C:\WINNT\system32\dipertoeb9-4d83.sys'); DeleteFile('C:\WINNT\system32\drivers\runtime2.sys'); DeleteFile('C:\WINNT\system32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\WINNT\system32\drivers\symavc32.sys'); DeleteFile('C:\Documents and Settings\Pasha1\Local Settings\Application Data\spool.exe'); DeleteFile('LogCrypt.dll'); DeleteFile('wowfx.dll'); DeleteFile('crypts.dll'); DeleteFile('C:\Program Files\iolo\System Mechanic 5\Undo\Manual\{02D9EDF9-3EAD-48D1-B9E3-8CCEFEACD5FB}\{729951B8-5D1F-4013-9587-6D65D2168230}.tmp'); DeleteFile('C:\Program Files\iolo\System Mechanic 5\Undo\Manual\{02D9EDF9-3EAD-48D1-B9E3-8CCEFEACD5FB}\{DB9AB785-B57E-450F-986F-AE6A39CC7AD9}.tmp'); DeleteFile('C:\Program Files\iolo\System Mechanic 5\Undo\Manual\{02D9EDF9-3EAD-48D1-B9E3-8CCEFEACD5FB}\{896E2F3D-FB03-442C-9D55-AF67E615AAD1}.tmp'); DeleteFile('C:\Program Files\iolo\System Mechanic 5\Undo\Manual\{02D9EDF9-3EAD-48D1-B9E3-8CCEFEACD5FB}\{46C5F4D9-72AA-48EE-BBEF-14F10ED159A4}.tmp'); DeleteFile('C:\Recycled\Dc65.exe'); DeleteFile('C:\Recycled\Dc67.exe'); DeleteFile('C:\Program Files\iolo\System Mechanic 5\Undo\Manual\{02D9EDF9-3EAD-48D1-B9E3-8CCEFEACD5FB}\{7C12BB99-36A6-4930-8835-CA0A8EAA6568}.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Базы новые.
Карантин отправил. Вот новые логи.
Сетевой активности такой уже не наблюдается.
Последний раз редактировалось aqua; 05.04.2008 в 21:52.
Профиксите
Поищите при помощи АВЗ--сервис поиск файлов на диске zip.dll и пришлите соглачно приложению 2 правил.Код:F2 - REG:system.ini: Shell=Explorer.exe O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file) O9 - Extra button: (no name) - DctMapping - (no file) O20 - Winlogon Notify: bnreg - C:\WINNT\ O20 - Winlogon Notify: crypt - C:\WINNT\ O20 - Winlogon Notify: LogCrypt - C:\WINNT\
К сожалению я уже не на месте, как только доберусь туда, то отошлю.
Хорошо. Подождём.
Здравствуйте!
Какой именно сбросить?
Поиск файлов по маске zip.dll, размер файлов разный, и дата на компе сбивается из-за батарейки, неизвестно, какой новее.
C:\WINNT\Installer\{4446b994-ba89-4189-89ba-69e28bdd6a2c}\zip.dll
C:\WINNT\Installer\{6686c700-3e8f-4382-aa5f-50b361f4551c}\zip.dll
C:\WINNT\Installer\{d1581e6b-8365-4f60-8571-832be7305a58}\zip.dll
C:\WINNT\Installer\{7cc63e52-af67-41a4-88c5-c19e39d693a0}\zip.dll
C:\WINNT\Installer\{84879017-2707-4cf6-bc24-988f262da288}\zip.dll
C:\WINNT\Installer\{b4475ef7-d0f9-4ffc-adb9-9748eeca1bba}\zip.dll
C:\WINNT\Installer\{11144f51-c456-440b-94f4-359c2fb59c5e}\zip.dll
C:\Program Files\Opera.old\zip.dll
C:\Program Files\Java\j2re1.4.2_06\bin\zip.dll
C:\Program Files\Java\j2re1.4.2_04\bin\zip.dll
C:\Program Files\Java\jre1.5.0_02\bin\zip.dll
C:\Program Files\Java\jre1.5.0_04\bin\zip.dll
C:\Program Files\Java\jre1.5.0_06\bin\zip.dll
C:\Program Files\Opera\zip.dll
Поиск файлов завершен
Просмотрено 64812, найдено 14
C:\WINNT\Installer\{4446b994-ba89-4189-89ba-69e28bdd6a2c}\zip.dll
Отправил.
C:\WINNT\Installer\{4446b994-ba89-4189-89ba-69e28bdd6a2c}\zip.dll - Trojan-Dropper.Win32.Agent.ftv
Выполните в АВЗ
Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINNT\Installer\{4446b994-ba89-4189-89ba-69e28bdd6a2c}\zip.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделал.
Последний раз редактировалось aqua; 05.04.2008 в 21:52.
Поищите ещё этого C:\WINNT\Installer\{2160459b-ed37-40d0-a8cb-2e84a67ba500}\MonUnknown.dll и пришлите согласно приложению 2 правил.
AVZ ничего не нашел.
Поиск файлов по маске MonUnknown.dll
Поиск файлов завершен
Просмотрено 64963, найдено 0
А при помощи других средств его то же невидать?
В проводнике и в FAR папка пустая.
Выполните в АВЗ
Профиксите, если будетКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINNT\Installer\{2160459b-ed37-40d0-a8cb-2e84a67ba500}\MonUnknown.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Больше вредосного ничего не видно.Код:O21 - SSODL: MonUnknown - {2160459b-ed37-40d0-a8cb-2e84a67ba500} - C:\WINNT\Installer\{2160459b-ed37-40d0-a8cb-2e84a67ba500}\MonUnknown.dll (file missing)
Спасибо большое.
Уважаемый(ая) aqua, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.