Wind32.exe иыелый атракцион збоев в системе

[Kurk_SS]

Значит дело такое, легче сказать что у меня работает - клавиатура печатает и фильмы смотряться

1Диспетчер задач заблокирован, точнее был до создания логов
2Симантек только качает обновление вирусных баз, установить их не может, его чтото вырубает.
3фаервол - окно текучки не открываеться, не могу точнее сказать какие были процесы, из журнала меню настроек пропало.
4куча сообщений фаервола, про конекты в интернет и подозрительные ДНС запросы, счас когда фаервол тоже начал открываться, видно что целая куча конектов, запрет срабатывает изза транзитных пакетов(шо такое только догадываюсь)процес неопределён.
5 постояно какието экзешники хотят в сеть(имена походу рандомные)
6ИЕ тормозит жутко, сам активируеться(окно запущенного), лишние процесы его в диспетчере(уже начал запускаться).

ЗЫ:я уже раз 6 к Вам обращаюсь... мне вот интерестно, если у меня всякие бяки заразят ВСЕ файлы на диске С:\ втом числе и загрущик и Буут.ини, вы всёравно сможете вылечить, как всегда делали это в предыдущие мои обращения?

[Гриша]

Отключите восстановление системы и антивирус!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\maxpaynow1.exe');
 TerminateProcessByName('c:\windows\services.exe');    
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\cewmd.dll','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winsw14.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Qux83.sys','');
 QuarantineFile('C:\WINDOWS\system32\test12.exe','');
 QuarantineFile('c:\windows\system32\vedxg6ame4.exe','');
 QuarantineFile('c:\windows\system32\maxpaynow1.exe','');
 DeleteService('tcpsr');
 DeleteService('Winsw14');
 DeleteService('Qux83');     
 DeleteFile('c:\windows\system32\maxpaynow1.exe');
 DeleteFile('c:\windows\services.exe');
 DeleteFile('c:\windows\system32\vedxg6ame4.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\Qux83.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winsw14.sys');
 DeleteFile('C:\WINDOWS\system32\cewmd.dll');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DelBHO('{215ABACB-8588-425E-99DF-27348A4B0023}');     
 BC_ImportALL;  
 ExecuteSysClean;
 BC_DeleteSvc('tcpsr ');
 BC_DeleteSvc('Winsw14 ');
 BC_DeleteSvc('Qux83 ');
 BC_QrSvc('Windows IPSEC Monitor ');    
 BC_Activate;
 ExecuteRepair(6 );
 ExecuteRepair(11 );    
 RebootWindows(true);
end.

Пришлите карантин,повторите логи.

[Kurk_SS]

Дааа! Такой колекции карантина я ещё не слал...
Это на новом месте я зашол на сайт провайдера, и смотрю там помимо описания настроек ВПН появилось "скачать програмку для автоматической настройки впн... да и вся защита в это время была отключена. Вот имеем. Кстате ВПН автоматически не настроился.

Я забыл до этого написать что буфер обмена в эксплоере не работал... уже работает.

[Гриша]

1A.tmp_, winger[1].exe_ - SpamTool.Win32.Agent.ip
maxpaynow1.exe_ - Trojan-Downloader.Win32.Tibs.acw
ntos.exe_ - Trojan-Spy.Win32.Zbot.cga
Qux83.sys - Trojan-Downloader.Win32.Agent.tbj
services.exe_ - Trojan.Win32.Agent.rsl
vedxg6ame4.exe_ - Trojan-Downloader.Win32.Tibs.acn
WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.hm

Японский городовой,отключите восстановление системы,очистите карантин Доктора!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\winger[1].exe');
 DeleteFile('C:\Documents and Settings\Alex\Local Settings\Temp\1A.tmp');
 DeleteFile('C:\WINDOWS\system32\vedxga4m1et4.exe');
 DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Вот этот файлик test12.exe пришлите согласно приложению 2 правил и повторите логи.

[Kurk_SS]

Шото я не понимаю... с утра заходил сюда, вроде видел ваш второй ответ, мол всё окей и успокоился... правда смотрю трафик постоянно идёт(гдето 2 метра в час) по фаерволу это процес Н/А постоянно шото делает, пакеты почемуто от провайдера и чорти откуда приходят на закрытые порты или транзитные.
Захожу сюда, а эт я оказываеться с утра не свою тему видимо читал.


Test12.exe як не искал, вплоть до прожки по востановлению данных,
читая __http://virusinfo.info/showthread.php?t=4567__,
немогу найти, хотя смотрел в логах АВЗ - так и сейчас есть там этот файл.Сама АВЗ при добавлении карантина по списку практически мгновенно пишет, что процес добавления завершён, но файла в карантине нет. нифига не понимаю.

[V_Bond]

выполните скрипт ...

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 BC_DeleteSvc('Windows IPSEC Monitor');
 QuarantineFile('C:\Program Files\AdvancedCleaner Free\ian_monitor.exe','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин соглсно приложения 3 правил ...

[Kurk_SS]

я уже начинаю лохом себя чувствовать
В карантине авз есть папка новая, но в ней пусто... она ничего туда не поместила
скрипт сделал, логи новые прикрепил...

Фаервол продолжает показывать что какойто Н/А процес шлёт тсп пакеты... везде пищет блокировка транзитных пакетов срабатывает... хотя трафик помаленьку идёт всётаки.

диспетчер задач показывает интересный один svchost.exe который содержит в себе 62 нити и постоянно чтото читает и записывает пока я после перезагрузки второй скрипт в авз делал и хайджек лог 40 метров написал кудато и прочитал откудато этот процес

Хелп плиз

[V_Bond]

ian_monitor.exe - поищите согласно приложения 2 правил ...

[Kurk_SS]

прикольно рад бы прислать.... да нет такого файла.... авз беру добавить в карантин по списку... вставляю вверху имя файла... оно стразу выдаёт

Процесс добавления файлов запущен
Процесс добавления файлов завершен
и всё... ничего нет в карантине... пробовал поставить звёздочки и поискать этот файл тоже нет результатов

[V_Bond]

пофиксите ...

Код:

O4 - HKLM\..\Run: [SM_IAN] C:\Program Files\AdvancedCleaner Free\ian_monitor.exe

hijackthis.log - повторите ...

[Kurk_SS]

сделал... потом взял перезагрузку... только чтото она не сработала, фаервол с антивирусом вылетили а сеть и система остались работать... со второй попытки пошла перезагрузка

счас только один Н/А процес чтото делает фаервол разрешает так как пишет что по правилу разрешить GRE протокол... шо такое не шарю

[Kurk_SS]

Так что с моим то вопросом, господа знатоки.....
иль вас смушает шо я редко отвечаю.... счас днём я на работе

[V_Bond]

в логе чисто .... какие-то проблемы остались ?

[Kurk_SS]

Да
по прежнему фаервол детектит процес н/а которые шлют транзитные пакеты

2 я при включеной сети но выключеном впн, у фаервола убрал правила для винлогона и ще чевото виндозного, потом выскочило, что винлогон запустил свчост и тот лезет в сеть, дал добро, ток после этого свчост попросился
smpt.mail.ru smpt.google и ещо 3-4 домены незнакомые так что и не запомнил.....

3 вопрос(заметил шо думать не знаю) это нормально что один свчост занимает 17 метров оперативы, его обьём чтения и записи уже по 25 метров и растёт гдето на 1Кб/сек, и у него 60 нитей(потоков)

Добавлено через 8 минут

а забыл ешо пока темпориинтернетфайлз с внутреним содержимым(папки типа
KFY5ID8SF3 и фаилы индекс.дат)появились в windows\temp\ , Doc&set\...localsettings\temp\ и ешо гдето видел, полностью не удаляються, я смотрю там файл прислал его карантин и ешопару фаулов сами то появляються то исчезают, запрет удаления из папки на них почемуто не воздействует...

[V_Bond]

Strokes.exe - пришлите согласно приложения 2 правил ....

[Kurk_SS]

выслал.. хотя 99% шо с файлом всё нормально.... это фриварная прожка для поиска иероглифа по его частям, типа словарика...

А шото, неясно что лезет и лезет в сеть, и такое ошущение,.. что это нечто умеет ловить моменты выключенного фаервола.... только выключаю... сразу процесовНитей какогото процеса, т.к. диспетчер задач не детектит появление процесов) 20 н/а паявляються которые в сеть лезут

ужо не знаю шо и думать...
як выковырять гниду...

[V_Bond]

1 не могу понять зачем вы выключаете фаерволл ...
2 лог фаервола приложите ...

[Kurk_SS]

Вот логи за 3 дня фаервола... там два файла формата csv, один разрешённые другой заблокированные...

Я иногда отключаю фаервол, так как там какаято защита связаная с кэшом ДНС срабатывает и впн соеденение не установливаеться... тоесть я его отключаю на сек 6 пока впн установиться.. мож и не то делаю, подскажите.

там в логах есть две програмки spiceworks Whatsupg ээто я вчера вечером ставил....(кстать может подскажете прогру наиболее автоматизированую для рисования сети, начинки компов и желательно ПО на этих компах - ато на форумах советуют всё шо знают)


для логов
svit.svitonline.com- это сервер провайдера

чтоб легче с айпи было разобраться

Windows IP Configuration
Host Name . . . . . . . . . . . . : toraboraland
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Esphil-Lan:
Connection-specific DNS Suffix . : svitonline.com
Description . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC
Physical Address. . . . . . . . . : 00-80-48-19-43-72
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.22.19.186
Subnet Mask . . . . . . . . . . . : 255.255.252.0
Default Gateway . . . . . . . . . : 10.22.16.1
DHCP Server . . . . . . . . . . . : 10.10.10.2
DNS Servers . . . . . . . . . . . : 10.10.10.2
Lease Obtained. . . . . . . . . . : 22 червня 2008 р. 9:09:06
Lease Expires . . . . . . . . . . : 22 червня 2008 р. 10:09:06

PPP adapter Svitonline:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physical Address. . . . . . . . . : 00-53-45-00-00-00
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 83.170.252.159
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 83.170.252.159
DNS Servers . . . . . . . . . . . : 212.109.32.5
212.109.32.9

83.170.252.159 -это я с точки зрения внешнего мира( взял с 2ip.ru)

[V_Bond]

есть два вопроса ...
1 у вас киевский провайдер ?
2 gmail почтой пользуетесь ?

[Kurk_SS]

провайдер Киевский(точнее я в Киеве)

почта только майл.ру или укр.нет
гмайл (и я видел шо на smpt.google лезет)... такой почты неюзаем