NetBIOS ломится в сеть при активном сетевом подключении.

[vanyusha]

Привет,

на моей машине NetBIOS ломится в сеть при активном подключении (определил это с помощью Agnitum Outpost), не смотря на то, что он отключен (!) - в свойствах удаленного подключения, и в диспетчере устройств (Plug and Play). Удаленные порты, на которые направлен NetBIOS: 1025 и все после него.

Кроме NetBIOS в сеть ломится и неопределенное приложение, которое в Outpost значится как "n/a", через порт DCOM на всевозможные удаленные порты.

+ во время проверки машины программой AVZ - несколько раз появлялся "синий экран".

Подскажите, пожалуйста, где срань спряталась?

PS Необходимые файлы прикреплены.

[kps]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL','');
 QuarantineFile('C:\WINDOWS\svchost.exe','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\netbt.sys','');
 QuarantineFile('Distributed Allocated Memory Unit.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\Distributed Allocated Memory Unit.sys','');
 QuarantineFile('C:\WINDOWS\System32\dllcache\Distributed Allocated Memory Unit.sys','');
 QuarantineFile('C:\WINDOWS\system32\KERNEL1.EXE','');
 QuarantineFile('C:\WINDOWS\System32\pctspk.exe','');
 DeleteFile('C:\WINDOWS\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL');
DelCLSID('2E665E7A-8BB5-715B-0607-050708040008');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('Distributed Allocated Memory Unit');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=23356 ).

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

Сделайте новые логи.

[vanyusha]

Скрипт выполнил, логи прикреплены.

[vanyusha]

.

[kps]

Ваш карантин не пришел.

[vanyusha]

"Карантин" отправлен.

Результат загрузки
Файл сохранён как 080524_151226_virus_483876aaacc43.zip
Размер файла 1233482
MD5 ccb2c8e312d88a53f0ced95c4d3ae309

[kps]

Скопируйте в IceSword, как написано здесь http://virusinfo.info/showthread.php?t=17109 следующие файлы:
C:\WINDOWS\System32\DRIVERS\netbt.sys
Distributed Allocated Memory Unit.sys
C:\WINDOWS\System32\pctspk.exe

Скопированные файлы запакуйте в zip-архив с паролем virus и отправьте архив сюда: http://virusinfo.info/upload_virus.php?tid=23356

[vanyusha]

кстати, файлы netbt.sys и netbios.sys были удалены из директории C:\WINDOWS\System32\DRIVERS\. Т.е. данных файлов на машине нет вообще (это было сделано с целью избавиться от назойливого процесса). Этих файлов нет, но Оутпост все равно показывает, что сетевая активность генерируется процессом под названием "netbios".

Добавлено через 6 минут

IceSword.exe не запускается. Пишет: "Initialize failed, error code: 1."?

Добавлено через 6 минут

"Distributed Allocated Memory Unit.sys" данного файла нет тоже.
C:\WINDOWS\system32\dllcache\ - у меня пустая по умолчанию
в папке C:\WINDOWS\system32\drivers\ файла с таким именем нет.

[kps]

Скачайте Gmer. Запустите программу.
Зайдите на закладку Files и попробуйте там найти и скопировать:
C:\WINDOWS\System32\DRIVERS\netbt.sys
Distributed Allocated Memory Unit.sys
C:\WINDOWS\System32\pctspk.exe


Скопированные файлы запакуйте в zip-архив с паролем virus и отправьте архив сюда: http://virusinfo.info/upload_virus.php?tid=23356

Затем отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

[vanyusha]

- (virus.zip) - запрашиваемые файлы;
Файл сохранён как 080524_175315_virus_48389c5b94dff.zip
Размер файла 175363
MD5 5faae7b2ee2d01005853ecab1a13122f

- файла "Distributed Allocated Memory Unit.sys" физически нет на компьютере. (см. скриншот);
Точно не помню, но кажется исполняемый файл для службы "Distributed Allocated Memory Unit" был "C:\WINDOWS\system32\H@tKeysH@@k.DLL", который на данный момент удален.

- Gmer.log прикреплен.


[moderated: Файлы присылаются в соответствии с приложением 3 правил]

[V_Bond]

netbt.sys ,pctspk.exe -чистые
вы пользуетесь локальной сетью ?

[vanyusha]

Та в том то и дело - локалкой не пользуюсь вообще, поэтому поотключал службы, обеспечивающие работу локальной сети.

Даже физически удалил файлы:
C:\WINDOWS\System32\DRIVERS\netbt.sys
C:\WINDOWS\System32\DRIVERS\netbios.sys
C:\WINDOWS\System32\dllcache\netbt.sys
C:\WINDOWS\System32\dllcache\netbios.sys
т.е. фактически НетБИОС не должен вообще работать... а он, при появлении активного сетевого подключения, каждые 1-2 минуты начинает ломиться в сеть. Оутпост Файрфолл определят его так:

===================================
Start time Application Direction Protocol Remote Address Remote port Local Address Local port Reason Up time Bytes per second Sent Recv
13:22:48 NETBIOS IN REFUSED TCP 82.207.6.187 3620 82.207.35.164 MICROSOFT_DS Block NetBIOS Traffic 00:00:01 0 bytes/s 0 bytes 0 bytes
13:20:26 NETBIOS IN REFUSED TCP 82.207.56.36 2721 82.207.35.164 MICROSOFT_DS Block NetBIOS Traffic 00:00:01 0 bytes/s 0 bytes 0 bytes
13:16:01 NETBIOS IN REFUSED TCP 82.207.56.36 1632 82.207.35.164 MICROSOFT_DS Block NetBIOS Traffic 00:00:01 0 bytes/s 0 bytes 0 bytes
13:15:49 NETBIOS IN REFUSED TCP 82.207.32.153 1235 82.207.35.164 MICROSOFT_DS Block NetBIOS Traffic 00:00:01 0 bytes/s 0 bytes 0 bytes
13:14:51 NETBIOS IN REFUSED TCP 82.207.56.36 4163 82.207.35.164 MICROSOFT_DS Block NetBIOS Traffic 00:00:01 0 bytes/s 0 bytes 0 bytes
===================================

Если отключить файрволл, то через эти порты мгновенно залетает туча вирусов.

[kps]

Выполните скрипт в AVZ:

Код:

begin
BC_DeleteSvc('Distributed Allocated Memory Unit');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Посмотрите, помогло от проблемы или нет.
Сделайте новый лог по пункту 8 правил.

[vanyusha]

Левые процессы все равно подключаются к сети...

===================
15:28:26 NETBIOS IN REFUSED TCP 82.207.13.228 3884 82.207.30.40 MICROSOFT_DS Block NetBIOS Traffic 00:00:01 0 bytes/s 0 bytes 0 bytes
15:28:01 NETBIOS IN REFUSED TCP 82.207.192.127 2741 82.207.30.40 MICROSOFT_DS Block NetBIOS Traffic 00:00:01 0 bytes/s 0 bytes 0 bytes
15:27:46 NETBIOS IN REFUSED TCP 82.207.49.77 4597 82.207.30.40 MICROSOFT_DS Block NetBIOS Traffic 00:00:01 0 bytes/s 0 bytes 0 bytes

15:30:00 n/a IN REFUSED TCP 124.162.53.180 6000 82.207.30.40 2967 Block All Activity 00:00:01 0 bytes/s 0 bytes 0 bytes
15:28:59 n/a IN REFUSED TCP 82.207.61.35 3336 82.207.30.40 DCOM Block Remote Procedure Call (TCP) 00:00:01 0 bytes/s 0 bytes 0 bytes
15:28:08 n/a IN REFUSED TCP 203.201.216.149 1520 82.207.30.40 DCOM Block Remote Procedure Call (TCP) 00:00:01 0 bytes/s 0 bytes 0 bytes
15:27:29 n/a IN REFUSED UDP 58.241.122.26 40292 82.207.30.40 1027 Block All Activity 00:00:01 0 bytes/s 0 bytes 0 bytes
15:27:29 n/a IN REFUSED UDP 58.241.122.26 40291 82.207.30.40 1026 Block All Activity 00:00:01 0 bytes/s 0 bytes 0 bytes
15:27:29 n/a IN REFUSED UDP 58.241.122.26 40291 82.207.30.40 1026 Block All Activity 00:00:01 0 bytes/s 0 bytes 0 bytes
15:27:29 n/a IN REFUSED UDP 58.241.122.26 40291 82.207.30.40 1027 Block All Activity 00:00:01 0 bytes/s 0 bytes 0 bytes
===================

Удаленные порты 40291,40292,36925,36927 ?


virusinfo_syscure.zip прикреплен.

[vanyusha]

.

[kps]

Возможно не Ваш нетбиос ломится в сеть, а к Вам ломятся их сети. Обновите Ваш Windows и браузер IE (спасибо Bratez).

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 18
• В ходе лечения вредоносные программы в карантинах не обнаружены