-
Junior Member
- Вес репутации
- 59
Wind32.exe иыелый атракцион збоев в системе
Значит дело такое, легче сказать что у меня работает - клавиатура печатает и фильмы смотряться
1Диспетчер задач заблокирован, точнее был до создания логов
2Симантек только качает обновление вирусных баз, установить их не может, его чтото вырубает.
3фаервол - окно текучки не открываеться, не могу точнее сказать какие были процесы, из журнала меню настроек пропало.
4куча сообщений фаервола, про конекты в интернет и подозрительные ДНС запросы, счас когда фаервол тоже начал открываться, видно что целая куча конектов, запрет срабатывает изза транзитных пакетов(шо такое только догадываюсь)процес неопределён.
5 постояно какието экзешники хотят в сеть(имена походу рандомные)
6ИЕ тормозит жутко, сам активируеться(окно запущенного), лишние процесы его в диспетчере(уже начал запускаться).
ЗЫ:я уже раз 6 к Вам обращаюсь... мне вот интерестно, если у меня всякие бяки заразят ВСЕ файлы на диске С:\ втом числе и загрущик и Буут.ини, вы всёравно сможете вылечить, как всегда делали это в предыдущие мои обращения?
Последний раз редактировалось Kurk_SS; 22.06.2008 в 10:36.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы и антивирус!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\maxpaynow1.exe');
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\cewmd.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winsw14.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Qux83.sys','');
QuarantineFile('C:\WINDOWS\system32\test12.exe','');
QuarantineFile('c:\windows\system32\vedxg6ame4.exe','');
QuarantineFile('c:\windows\system32\maxpaynow1.exe','');
DeleteService('tcpsr');
DeleteService('Winsw14');
DeleteService('Qux83');
DeleteFile('c:\windows\system32\maxpaynow1.exe');
DeleteFile('c:\windows\services.exe');
DeleteFile('c:\windows\system32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\System32\drivers\Qux83.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winsw14.sys');
DeleteFile('C:\WINDOWS\system32\cewmd.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DelBHO('{215ABACB-8588-425E-99DF-27348A4B0023}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('tcpsr ');
BC_DeleteSvc('Winsw14 ');
BC_DeleteSvc('Qux83 ');
BC_QrSvc('Windows IPSEC Monitor ');
BC_Activate;
ExecuteRepair(6 );
ExecuteRepair(11 );
RebootWindows(true);
end.
Пришлите карантин,повторите логи.
-
-
Junior Member
- Вес репутации
- 59
Дааа! Такой колекции карантина я ещё не слал...
Это на новом месте я зашол на сайт провайдера, и смотрю там помимо описания настроек ВПН появилось "скачать програмку для автоматической настройки впн... да и вся защита в это время была отключена. Вот имеем. Кстате ВПН автоматически не настроился.
Я забыл до этого написать что буфер обмена в эксплоере не работал... уже работает.
Последний раз редактировалось Kurk_SS; 22.06.2008 в 10:36.
-
1A.tmp_, winger[1].exe_ - SpamTool.Win32.Agent.ip
maxpaynow1.exe_ - Trojan-Downloader.Win32.Tibs.acw
ntos.exe_ - Trojan-Spy.Win32.Zbot.cga
Qux83.sys - Trojan-Downloader.Win32.Agent.tbj
services.exe_ - Trojan.Win32.Agent.rsl
vedxg6ame4.exe_ - Trojan-Downloader.Win32.Tibs.acn
WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.hm
Японский городовой,отключите восстановление системы,очистите карантин Доктора!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\winger[1].exe');
DeleteFile('C:\Documents and Settings\Alex\Local Settings\Temp\1A.tmp');
DeleteFile('C:\WINDOWS\system32\vedxga4m1et4.exe');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Вот этот файлик test12.exe пришлите согласно приложению 2 правил и повторите логи.
-
-
Junior Member
- Вес репутации
- 59
Шото я не понимаю... с утра заходил сюда, вроде видел ваш второй ответ, мол всё окей и успокоился... правда смотрю трафик постоянно идёт(гдето 2 метра в час) по фаерволу это процес Н/А постоянно шото делает, пакеты почемуто от провайдера и чорти откуда приходят на закрытые порты или транзитные.
Захожу сюда, а эт я оказываеться с утра не свою тему видимо читал.
Test12.exe як не искал, вплоть до прожки по востановлению данных,
читая __http://virusinfo.info/showthread.php?t=4567__,
немогу найти, хотя смотрел в логах АВЗ - так и сейчас есть там этот файл.Сама АВЗ при добавлении карантина по списку практически мгновенно пишет, что процес добавления завершён, но файла в карантине нет. нифига не понимаю.
Последний раз редактировалось Kurk_SS; 22.06.2008 в 10:36.
-
выполните скрипт ...
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Windows IPSEC Monitor');
QuarantineFile('C:\Program Files\AdvancedCleaner Free\ian_monitor.exe','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин соглсно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 59
я уже начинаю лохом себя чувствовать
В карантине авз есть папка новая, но в ней пусто... она ничего туда не поместила
скрипт сделал, логи новые прикрепил...
Фаервол продолжает показывать что какойто Н/А процес шлёт тсп пакеты... везде пищет блокировка транзитных пакетов срабатывает... хотя трафик помаленьку идёт всётаки.
диспетчер задач показывает интересный один svchost.exe который содержит в себе 62 нити и постоянно чтото читает и записывает пока я после перезагрузки второй скрипт в авз делал и хайджек лог 40 метров написал кудато и прочитал откудато этот процес
Хелп плиз
Последний раз редактировалось Kurk_SS; 25.08.2008 в 12:16.
-
ian_monitor.exe - поищите согласно приложения 2 правил ...
-
-
Junior Member
- Вес репутации
- 59
прикольно рад бы прислать.... да нет такого файла.... авз беру добавить в карантин по списку... вставляю вверху имя файла... оно стразу выдаёт
Процесс добавления файлов запущен
Процесс добавления файлов завершен
и всё... ничего нет в карантине... пробовал поставить звёздочки и поискать этот файл тоже нет результатов
-
пофиксите ...
Код:
O4 - HKLM\..\Run: [SM_IAN] C:\Program Files\AdvancedCleaner Free\ian_monitor.exe
hijackthis.log - повторите ...
-
-
Junior Member
- Вес репутации
- 59
сделал... потом взял перезагрузку... только чтото она не сработала, фаервол с антивирусом вылетили а сеть и система остались работать... со второй попытки пошла перезагрузка
счас только один Н/А процес чтото делает фаервол разрешает так как пишет что по правилу разрешить GRE протокол... шо такое не шарю
Последний раз редактировалось Kurk_SS; 25.08.2008 в 12:16.
-
Junior Member
- Вес репутации
- 59
Так что с моим то вопросом, господа знатоки.....
иль вас смушает шо я редко отвечаю.... счас днём я на работе
-
в логе чисто .... какие-то проблемы остались ?
-
-
Junior Member
- Вес репутации
- 59
Да
по прежнему фаервол детектит процес н/а которые шлют транзитные пакеты
2 я при включеной сети но выключеном впн, у фаервола убрал правила для винлогона и ще чевото виндозного, потом выскочило, что винлогон запустил свчост и тот лезет в сеть, дал добро, ток после этого свчост попросился
smpt.mail.ru smpt.google и ещо 3-4 домены незнакомые так что и не запомнил.....
3 вопрос(заметил шо думать не знаю) это нормально что один свчост занимает 17 метров оперативы, его обьём чтения и записи уже по 25 метров и растёт гдето на 1Кб/сек, и у него 60 нитей(потоков)
Добавлено через 8 минут
а забыл ешо пока темпориинтернетфайлз с внутреним содержимым(папки типа
KFY5ID8SF3 и фаилы индекс.дат)появились в windows\temp\ , Doc&set\...localsettings\temp\ и ешо гдето видел, полностью не удаляються, я смотрю там файл прислал его карантин и ешопару фаулов сами то появляються то исчезают, запрет удаления из папки на них почемуто не воздействует...
Последний раз редактировалось Kurk_SS; 20.06.2008 в 08:38.
Причина: Добавлено
-
Strokes.exe - пришлите согласно приложения 2 правил ....
-
-
Junior Member
- Вес репутации
- 59
выслал.. хотя 99% шо с файлом всё нормально.... это фриварная прожка для поиска иероглифа по его частям, типа словарика...
А шото, неясно что лезет и лезет в сеть, и такое ошущение,.. что это нечто умеет ловить моменты выключенного фаервола.... только выключаю... сразу процесовНитей какогото процеса, т.к. диспетчер задач не детектит появление процесов) 20 н/а паявляються которые в сеть лезут
ужо не знаю шо и думать...
як выковырять гниду...
-
1 не могу понять зачем вы выключаете фаерволл ...
2 лог фаервола приложите ...
-
-
Junior Member
- Вес репутации
- 59
Вот логи за 3 дня фаервола... там два файла формата csv, один разрешённые другой заблокированные...
Я иногда отключаю фаервол, так как там какаято защита связаная с кэшом ДНС срабатывает и впн соеденение не установливаеться... тоесть я его отключаю на сек 6 пока впн установиться.. мож и не то делаю, подскажите.
там в логах есть две програмки spiceworks Whatsupg ээто я вчера вечером ставил....(кстать может подскажете прогру наиболее автоматизированую для рисования сети, начинки компов и желательно ПО на этих компах - ато на форумах советуют всё шо знают)
для логов
svit.svitonline.com- это сервер провайдера
чтоб легче с айпи было разобраться
Windows IP Configuration
Host Name . . . . . . . . . . . . : toraboraland
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
Ethernet adapter Esphil-Lan:
Connection-specific DNS Suffix . : svitonline.com
Description . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC
Physical Address. . . . . . . . . : 00-80-48-19-43-72
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.22.19.186
Subnet Mask . . . . . . . . . . . : 255.255.252.0
Default Gateway . . . . . . . . . : 10.22.16.1
DHCP Server . . . . . . . . . . . : 10.10.10.2
DNS Servers . . . . . . . . . . . : 10.10.10.2
Lease Obtained. . . . . . . . . . : 22 червня 2008 р. 9:09:06
Lease Expires . . . . . . . . . . : 22 червня 2008 р. 10:09:06
PPP adapter Svitonline:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physical Address. . . . . . . . . : 00-53-45-00-00-00
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 83.170.252.159
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 83.170.252.159
DNS Servers . . . . . . . . . . . : 212.109.32.5
212.109.32.9
83.170.252.159 -это я с точки зрения внешнего мира( взял с 2ip.ru)
Последний раз редактировалось Kurk_SS; 25.08.2008 в 12:16.
-
есть два вопроса ...
1 у вас киевский провайдер ?
2 gmail почтой пользуетесь ?
-
-
Junior Member
- Вес репутации
- 59
провайдер Киевский(точнее я в Киеве)
почта только майл.ру или укр.нет
гмайл (и я видел шо на smpt.google лезет)... такой почты неюзаем