Лезет на 80.240.*.* и не только

**LAM** · 24.03.2009, 17:33

Здравствуйте!
Заметил постоянно мигающие или даже горящие мониторчики в трее и торможение "официального" трафика, хотя стараюсь отключать любые автозагрузки (ненужные) и активность сети (типа отчетов и т.п.).
В AGAVA Firewall обнаружил, что система по протоколу ICMP с частотой примерно одна попытка в секунду пытается подключиться к адресу 80.240.0.0 и тд до 80.240.255.255 и затем опять с нуля (друг пробил адрес - сказал что это айпишники моб. оператора теле2, хотя интернет по мобильным каналам никогда не шел на этом компе). Кроме того непонятные адреса 192.168.1.255 по протоколу UDP тоже иногда начинают настырно подключаться (локальный порт у них netbios-dgm и netbios-ns - не знаю что это и полезна ли эта информация, но пишу, что наю).
С помощью AGAVы заблокировал им доступ, но хотя трафик не кушает теперь, но эта постоянная активность очень раздражает.
В качестве антивируса Доктор Веб (все обновлено), работает резидентно; также установил Spyware Terminator (перекрестился после того как гром грянул).
Может быть полезно: Crypto Pro, которую заподозрила AVZ - это программа для цифровых подписей.

А еще создается нулевой файл kht, наверное известный Вам вирус.

Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe csrcs.exe"
>>> C:\WINDOWS\system32\csrcs.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
Файл успешно помещен в карантин (C:\WINDOWS\system32\csrcs.exe)

- это наверное про него? То что он поместился в карантин, значит он уже безопасен или его надо добить? Ну и я так понимаю он никак не связан с вышеизложенной проблемой

Большое спасибо. Извините за долгий рассказ.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 24.03.2009, 17:41

Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\csrcs.exe');
 QuarantineFile('c:\windows\system32\csrcs.exe','');
 DeleteFile('c:\windows\system32\csrcs.exe');
 ExecuteRepair(8);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать заново логи.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=42423

Мой рассказ получился коротким

**LAM** · 24.03.2009, 18:14

Но что же все-таки за netbios-dgm и netbios-ns с адресами 192.168.1.255 - они блокируются фаерволом, но я вроде их не блокировал, а кто их блокировал и что они делают, а главное кто они? (хотя их деятельность можно только в статистике фаервола можно заметить, а в сети теперь полный штиль)
Если можно, прояснить: так это значит одна и та же дрянь (csrcs) и создает KHT и лазиит по айпишникам?
Ещё одно: после ребута система сообщила, что ей очень нехватает csrcs. В автозагрузках и службах не нашел ее. Как добить клопа?

П.С.: Длинна рассказа в прежнем стиле

Спасибо

**PavelA** · 24.03.2009, 18:34

профиксить:

Код:

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

Сделать лог Хиджака.

**LAM** · 25.03.2009, 12:18

Нетбиосы c адресами 192.168.1.255, а также по протоколу IGMP на адрес 192.168.1.1 все-таки изредка лезут и блокируется, я догадываюсь что это за адреса и что это наверное стандартные службы, но слегка напрягает.
ну и шут с ними, главное csrcs убит.

Большое спасибо

P/S: Наверху темы красное сообщение "Прислать запрошенный карантин", но я его сразу после запроса выслал. Что-то не так?

**PavelA** · 25.03.2009, 13:02

Был убит:csrcs.exe - Packed.Win32.Klone.bj

**CyberHelper** · 26.03.2009, 13:02

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\csrcs.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Autohit.3438, BitDefender: Trojan.Heur.AutoIT.1 )

Лезет на 80.240.. и не только (заявка № 42423)

Опции темы