После загрузки системы svchost.exe пытается установить соединение с разнообразной кучей IP адресов, на первый взгляд не повторяющихся на порт 445. Так же в начале работы svchost пытается соединяется с чем-то на 80 порт, успешно, в журнале Comodo Firewall числится иногда по 60 кб закаченной информации, и соединений или попыток соединений в списке штук по 20-30.
Traffic Inspector показывает, что на 445 порт на разные айпишники лезет ws2_32.dll.
Соединение на 445 удаленный порт я временно закрыл файерволом. Лечение дрвебом обнаружило windowsautomaticupdates.exe в каталоге system32, удалил.
Прошу помощи...
Последний раз редактировалось drongo; 11.02.2009 в 16:53.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил. Обновите базы AVZ!
Сделайте новые логи и приложите к этой теме.
Последний раз редактировалось AndreyKa; 11.02.2009 в 18:05.
virusinfo_syscure.zip не видел, было тока два зипа после работы AVZ, которые и прислал. Может че напутал...
Спасибо за помощь! Чет дофига... Странно, винт машины до этого отцеплял и зацеплял на неинфицированную с лиценз виндой, апдейтами и обновленным антивирусом ESET. Просканировал винт, ниче не нашлось... Завтра на работе попробую это сделать.
Скрипт выполнил. Отправившись в перезагрузку, винда зависла, оставив на экране обои и мышь, перегрузил Reset'ом. Карантин оказался пуст, прислать нечего. Далее собрал логи по правилам, во время перезагрузки между syscure и syscheck перезагрузился в линукс и проверил наличие runtime*.sys в каталоге драйверов, и остальных указанных в скрипте файлов - отсутствуют. Правда hookdll.dll по всему диску не искал. Логи прилагаю.
svchost.exe ведет себя так же, правда меньше - лезет везде и всюду после загрузки на 445 порт, скачивает что-то с 80-го, через пару минут затихает.
Да, и еще. При втыкании флэшки на ней образуется файл autorun.inf. Открыл в блокноте, файл содержит 57.9 кб какой-то бинарной фигни, правда строчки часто начинаются с ";".
Дополнение. Еще на флэшке образуется каталог RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665, и в нем лежит файл jwgkvsq.vmx, при удалении autorun.inf и этого каталога при попытке автозапуска винда пытается этот .vmx и загрузить. Скопировал оба файла, если надо, могу прислать.
Скормил оба файла eset на другой машине. Нашел в них Win32/Conficker.AA. Странно, что на винте с зараженной системой ниче не нашел при этом. Остаюсь зараженный.
Последний раз редактировалось imprg; 12.02.2009 в 10:23.
Да, и еще. При втыкании флэшки на ней образуется файл autorun.inf. Открыл в блокноте, файл содержит 57.9 кб какой-то бинарной фигни, правда строчки часто начинаются с ";".
Дополнение. Еще на флэшке образуется каталог RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665, и в нем лежит файл jwgkvsq.vmx, при удалении autorun.inf и этого каталога при попытке автозапуска винда пытается этот .vmx и загрузить. Скопировал оба файла, если надо, могу прислать.
Это один из варианттов Кидо. Надо заплатки ставить.
Остатки в реестре все-таки есть:
Усе, наконец-то нашел я его. gejldrf.dll в каталоге system32, срубил нафиг, стало все ок. Файлы на флэшке не появляются, svchost никуда не лезет. Стелс, зараза, пришлось из-под линукса срубать. Он самый, кидо. Если нужен, пришлю.
protect.sys и runtime2.sys нету на машине. Хотя ща на всякий случай выполню скрипт.
Файл сохранён как 090212_114943_virus_4993e2a725a00.zip
Последний раз редактировалось imprg; 12.02.2009 в 11:50.
Не страшно :-) Нашел его и ладно.
На всякий случай еще последний лог, после удаления. Патч от микрософта поставил. А заразился судя по всему я через расшаренный на моей машине принтер.
Вопрос еще по теме. Как отключить автозапуск файлов с флэшки? Шоб даже при наличии autorun.inf на флэшках был тока запрос "че делать"?
В принципе все теперь работает, но есть последствия - с приходом вируса мой расшаренный принтер никому не виден. Как и расшаренный каталог. Можно это исправить? Перезапускал службы, закрывал и снова открывал доступ к принтеру, бестолку.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: