Похоже на почтовый вирус

Printable View

27.06.2007, 17:55
alexbs

Вложений: 3

Похоже на почтовый вирус

[COLOR=black]Система Windows XP SP1, антивирус AVAST, фаервол Comodo Pro, антивирус и фаервол обновляются, система - по возможности, ограничения по трафику.[/COLOR]
[COLOR=black]Проблема:[/COLOR]
[COLOR=black]При загрузке машины стал вызываться проводник. Затем после загрузки фаервола и после подключения к Интернет в разной последовательности выскакивают его следующие предупреждения (у меня почти всё в фаерволе стоит на "спрашивать"):[/COLOR]
[COLOR=black]- [B]Services and Controllers app пытается подключиться к Интернет. [/B][/COLOR]
[COLOR=black]Приложение Services. Родитель Winlogon. IP адреса разные, но один [/COLOR]
[COLOR=black]точно ведёт на Google;[/COLOR]
[COLOR=black]- [B]Services and Controllers app пытается действовать как сервер[/B]. [/COLOR]
[COLOR=black]Приложение Services. Родитель Winlogon. Сканирование SMTP (25) -[/COLOR]
[COLOR=black]TCP;[/COLOR]
[COLOR=black]- [B]Generic Host Process for Win 32 Services [/B][/COLOR][B][COLOR=black]пытается[/COLOR][/B][B][COLOR=black]действовать[/COLOR][/B][B][COLOR=black]как[/COLOR][/B][B][COLOR=black]сервер.[/COLOR][/B]
[COLOR=black]Приложение Services. Родитель Svchost. IP адреса и порты разные;[/COLOR]
[COLOR=black]- [B]avast! Web Scanner пытается действовать как сервер.[/B][/COLOR]
[COLOR=black]Приложение ashWebSV. Родитель Services. IP адреса и порты разные, [/COLOR]
[COLOR=black]но чаще 127.0.0.1 Порт 120**-TCP;[/COLOR]
[COLOR=black]- [B]avast! [/B][/COLOR][B][COLOR=black]e[/COLOR][COLOR=black]-Mail Scanner Service пытается действовать как сервер[/COLOR][/B][COLOR=black].[/COLOR]
[COLOR=black]Приложение ashMaiSV. Родитель Services. IP адреса и порты разные, [/COLOR]
[COLOR=black]но чаще 127.0.0.1 Порт 120**-TCP;[/COLOR]
[B][COLOR=black]- avast! [/COLOR][/B][B][COLOR=black]e[/COLOR][COLOR=black]-Mail Scanner Service пытается подключиться к Интернет[/COLOR][/B][COLOR=black].[/COLOR]
[COLOR=black]Приложение ashMaiSV. Родитель Services. IP адреса и порты разные, [/COLOR]
[COLOR=black]но чаще 127.0.0.1 Порт 120**-TCP.[/COLOR]
[COLOR=black]При этом последние два появляются в обязательном порядке при вызове [/COLOR][COLOR=black]Outlook[/COLOR][COLOR=black]Express[/COLOR][COLOR=black]. Если их разрешить, то начинает гнать в Интернет [/COLOR][COLOR=black]неизвестные сообщения потоком (видно на сканнере почты avast), так, что [/COLOR][COLOR=black]блокируется весь остальной трафик.[/COLOR]
[COLOR=black]AVZ[/COLOR][COLOR=black] что-то нашёл и удалил, но, видно, не всё. [/COLOR]
[COLOR=black]Хотелось бы очистить машину от этой заразы.[/COLOR]
AVASTом часто проверяю, иногда что-то удаляет, но эту не находит.
27.06.2007, 18:07
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_QrSvc('pe386');
BC_QrFile('C:\windows\System32:lzx32.sys');
BC_QrFile('C:\WINDOWS\system32\userinit.exe');
BC_DeleteSvc('pe386');
BC_DeleteFile('C:\windows\System32:lzx32.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - (no file)
O21 - SSODL: UpperHost - {523455E4-ABCD-ABCD-1114-D709ADD3DDAB} - (no file)[/CODE]Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.
27.06.2007, 18:11
drongo

Hа всякий случай, вдобавок TPkd.sys ,C:\WINDOWS\system32\userinit.exe
поискать по приложению 2, и прислать ;)
29.06.2007, 14:29
alexbs

Вложений: 3

Без изменений

Незначительные изменения - вроде бы Winlogon не проявляется.
29.06.2007, 14:45
drongo

зачем вам это:
O4 - Global Startup: Firewall Client Connectivity Monitor.LNK = C:\Program Files\Microsoft Firewall Client\ISATRAY.EXE
, если комодо файрвол стоит. Запрошенные файлы следует прислать как просили по правилам: ссылка в шапке этой темы, а не как вздумается.
29.06.2007, 15:09
alexbs

Виноват, не дочитал. Firewall Client был установлен провайдером - остался от времён, когда выход в сеть/Интернет был через его прокси сервер. Сейчас сброшу файлы через заголовок.
29.06.2007, 15:32
Bratez

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - (no file)
O21 - SSODL: UpperHost - {523455E4-ABCD-ABCD-1114-D709ADD3DDAB} - (no file)
[/code]
Авасту в фаерволе разрешите все что он просит.
В логах ничего подозрительного не видно.
03.07.2007, 16:10
alexbs

Спасибо, вроде бы больше ничего не качает, хотя предупреждения Comodo о подозрительных (с его точки зрения) действиях программ продолжают появляться. Может быть стоит поставить SP2?
03.07.2007, 16:31
Muzzle

какие именно предупреждения?
СП2 поставить нужно + все критические обновления которые вышли за последнее время.
22.02.2009, 01:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32:lzx32.sys - [B]Trojan-Clicker.Win32.Costrat.ac[/B] (DrWEB: Trojan.Spambot)[/LIST][/LIST]