сommon files - закрывает окошко обозревателя папок + эксплойт с неизвестного IP

WinXP

Гдето в течении 2-3 дней аваст начал блокировать некий сигнал как я понял из-вне (эксплойт с вот этого айпишника:79.163.117.143:135/tcp ; скриншот предупреждения от аваста прикреплен в конце). Я не придавал этому значения думал раз блокирует значит все нормально,но через некоторое время сайт vkontakte.ru начал у меня запрашивать телефон для валидации на странице с авторизацией и просил отправить им смс с кодом,типа анти-спам контроль... я чистил за день до этого комп ccleaner'ом и все пароли постирались, но я их помню естевственно,что меня впринципе очень озадачило и заставило отнестись к сей выходке от контакта не разумно (думаю контакт забыл меня что ли, не ужели ccleaner так мог отжеч).Но прикол в том, что для того что бы перейти в это окошко с вводом номера, абсолютно не требовалось заполнять поля с паролем или логином, а достаточно было просто нажимать кнопку "войти","забыли пароль" или "техподдержка",ну в общем любую кликабельную ссылку на мейн пейдже контакта.Погуглив сию проблему, я понял что ето уже клон сайт для буратин от вируса.Я скачал cureIT плюс почистил все авастом и смог заходить в итоге "вконтакт".После чего начал уже беспокоиться за свою систему,как я думал защишенную...

Решил проверить автозагрузку через msconfig,но к моему удивлению кнопка пуск -> выполнить мгновенно пропадала, после ее нажатия... ну не сама кнопка, а панелька, где уже команды прописывать.Таким образом до автозагрузки я не добрался, и такое же было с папкой common files что в programm files - при дабл клике по ней она отображалась буквально секунду или менее и закрывалась полностью вместе с окошком обозревателя.Доступ ко внутренним файлам сей папки я мог обеспечить только через проводник, но опять же не линкуя в нем по самой папке common files иначе все закрывалось.

И тут очередной раз приходит предупреждение от аваста об эксплойте с этого же айпи адреса.
Я ради интереса в мозиле ввел етот ип без концовки /tcp у меня тут же,при чем само по себе, открылось окошко мини-поиска (ctrl+F) и в нем максимальное кол-во раз прописалось слово testtesttesttesttesttesttest (само по себе), кроме этого и пустого окна мозилы ничего не произошло.

Обнаружил 2 левых процесса в диспечере (думаю они там были уже до момента ввода ип в браузере), которые восстанавливались при поппытке их удалить в нем и не удалялись в своих корневых папках даже анлокером :вот они - guardguard.exe и guardmailru.exe. Мейл агентом никогда не пользовался и не ставил на комп даже.

После этого я начал чистить комп по-новой, скачав avz + regCleaner+убивая этих guardmailru.exe и guardguard.exe с помощью ProcessExplorer и SequrityTaskManager, и дополнительно запустив avast: у меня удалилось примерно 3-4 зловреда, я ребутнулся и начал проверять: пуск->выполнить работает не пропадает, и папка common files тоже открывается,но все быстро закончилось, когда я подключился к сети для выхода в интернет: буквально сразу начала пропадать при дабл клике папка с comm files, но пуск-выполнить остался исправен, и минут через 3-5 аваст снова выдал этот warn об эксплойте,с которого все и началось и я понял что не решил проблемы
процессы guardguard.exe и guardmailru.exe. меня не беспокоили больше, пуск->выполнить работают исправно, но папка common files всё закрывает при попытке зайти в нее + постоянно приходит ворн от аваста об эксплойте с этого айпишника

По сути много текста написал и все изза того что папка с common files, при попытке входа в нее,сразу закрывается вместе с окошком обозревателя.Но меня больше беспокоит этот ип с которого мне что то шлют или пытаются у меня что то скачать,и все в момент именно подключения к сети для выхода в интернет (через 1-2 мин), при этом браузер мог быть еще даже не открыт и не было перехода на какой либо из сайтов.

[QUOTE='FXtrt;783153']прописалось слово testtesttesttesttesttesttest[/QUOTE]Работа AVZ по поиску кейлоггеров

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\common files\service share\lsass.exe');
QuarantineFile('c:\program files\common files\service share\lsass.exe','');
DeleteFile('c:\program files\common files\service share\lsass.exe');
DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
DeleteFileMask('C:\Program Files\pchd', '*.*', true);
DeleteDirectory('C:\Program Files\pchd');
DeleteFileMask('C:\pchd', '*.*', true);
DeleteDirectory('C:\pchd');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

вот появившиеся файлы из папки quarantine
папка common files стала исправной и не было атаки с того айпишника,видимо проблема решена спасибо за помощь =)
а я еще думаю что за второй процесс lsass обычно он 1 был но думаю мало ли как svchost по 5-6 штук =)

[QUOTE='thyrex;783219']Сделайте новые логи[/QUOTE]Где?

мне нужно еще раз сделать syscure syscheck и hjack.log архивы? вот тогда они. О нет опять атака с етого айпишника была, прям только что как собирался прикрепить файлы .... ((( папка common files исправна и не появился доп.процесс lsass но аваст опять закричал об эксплойте. и пару раз выскочила ошибка Generic Host Process for Win32 Services (svchost.exe , AcGenral.dll)

Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru[/CODE]
Установите все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

В реестре первые 2 параметра для hijack были в норме, только 3 изменил: там был линк на мейл ру что то там... в общем исправил .Установил IE8 (как понял он что то просканировал на наличие вирусов) установился. Установил обновления (не перезагрузился).Установил MBAM,запустил полное сканирование и во время него аваст заорал о черве на :OMBAM:O вот прикрепил 4 скрина (по разному орал) может просто изза того что при сканировании как раз и находило этих червей с пом процесса mbam.exe,но вдруг важно.И атаки (эксплойт) начали идти с другого айпи(еще до скана MBAM) (прикрепил скрин)
Прикрепил логи MBAM

Могу ли я удалить или произвести инные действия с найдеными MBAM зловредами?


и вот в конце еще 1 раз червя аваст спалил - что то новое
[url]http://img195.imageshack.us/f/newqs.jpg/[/url]

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

Заражённые папки:
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.

Заражённые файлы:
c:\documents and settings\fxtrt.counter-327b8e9\application data\Sun\Java\deployment\cache\6.0\8\2f7ded88-7034d775 (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\networkservice.nt authority\local settings\temporary internet files\content.ie5\hij2cdn6\gilaiqsg[1].png (Worm.Downadup) -> No action taken.
c:\program files\common files\service share\lsass.exex (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{9ff9d4b0-b969-42b4-a54c-91e9cd0e3a1f}\rp376\a0100835.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{9ff9d4b0-b969-42b4-a54c-91e9cd0e3a1f}\rp383\a0101356.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{9ff9d4b0-b969-42b4-a54c-91e9cd0e3a1f}\rp383\a0101403.exe (Spyware.Passwords.XGen) -> No action taken.
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.[/code]

в общем у меня продолжаются атаки с какого то айпи + новый прикол заметил у меня запущен браузер мозила наприимер смотрю видео на ютубе и спонтанно открывается какая то рандомная страница интернет сайта в новой закладке ,и какие то сайты буд то навязывающие рекламу себя таким образом (все вышеперечисленное сделалал )

Новый лог МВАМ где?

Вот лог мбам, а так же 2 скрина:я проверил очередной раз систему авастом, он обнаружил 2 файла путь к которым он почему то не мог найти. Я их нашел и удалял вручную.Это были 2 из 3-ёх лишних процессов в диспечере под именами:
10dde9.exe bc3ba_xp.exe, а так же процесс без имени (пустота перед расширением .exe) первые 2 я удалил с помощью виндоусовского поиска и анлокера, а вот последний сопротивлялся анлокеру там был еще конфиг файл в той же папке что и етот "exe без имени",конфиг удалил, а экзешник поместил в карантин и удалил из процессов с пом. security task managera после чего удалил вовсе. Первые 2 процесса я наблюдал, еще когда только писал первое сообщение Вам, они тогда пропали после ряда операций с avz, но откуда то взялись снова.Послежу за прогрессом может быть на этом все закончится :) отпишусь о результатах в течении дня

скрины
1)[url]http://img215.imageshack.us/f/avast1p.jpg/[/url]
2)[url]http://img153.imageshack.us/f/avast2k.jpg/[/url]

до сих пор не было ни ворнов от аваста ни браузерных глюков с сайтами по ходу я разобрался с етими зловредами с вашей помощью