Эти процеcсы инициируют сетевые подключения (в основном msdrive32.exe), поработав некоторое время исчезают оставляя после себя экзешники в имени которых произвольный набор чисел (например 65.exe и т.д.).
Антивирусы находят их и лечат (они в основном лежат в c:\winnt, c:\winnt\system32, c:\RECYCLER, c:\dll32b.exe) но после перезагрузки системы они восстанавливаются (восстановление системы отключено).
Буду благодарен за любую помощь
Последний раз редактировалось f1shb0ne; 27.08.2009 в 15:14.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Повторите логи.
Последний раз редактировалось AndreyKa; 24.08.2009 в 13:06.
Причина: + ExecuteRepair(16);
- Удалите Bonjour.
- Очистите темп-папки, кэш проводников и корзину.
- Повторите в точности действия, описанные в пп.2 и 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
корзина почистилась полностью
Temp - остался только 0 байт файл с названием (etilqs_doVbcjrkIBfk8TEmukji), который занят каким-то процессом
В диспетчере задач тех всех процессов нету кроме одного defmg.exe - "netstat -ona" показывает что он держит 13 внешних TCP соединений в состоянии 2 в состоянии "Established" и 11 в "Close_Wait"
Дополнительно:
- Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Я заметил в логе HijackThis есть 2 обьекта О4 winhost.exe
В корзине снова появился system32.exe
В диспетчере задач появились: win7service.exe, defmgr.exe, system32.exe, secrun.exe (также появляются и пропадают 42.exe, 43.exe, 85.scr и подобные)
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
- заметил что появился новый процесс TASKMAN.exe
- через некоторое время появляется 50.scr пропадает и появляется system32.exe (как обычно хранится в корзине)
Логи:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: