Есть непонятный входящий и исходящий траффик.
Есть непонятный входящий и исходящий траффик.
Касперский со свежими базами стоит?
Он должен вылавливать эту заразу.
Стоит, не помог(
Уж посетили, так посетили... :)
Пофиксите с помощью Hijackthis строчки: [code]O2 - BHO: Her - {C4DE5B15-4FFE-4c02-8CB3-CAD24A33562B} - C:\WINDOWS\system32\ramtmb.dll
O4 - HKLM\..\Run: [System] C:\WINDOWS\wupdsvc7.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\evgen\LOCALS~1\Temp\winlogon.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\syst7r.dll[/code] На время выполнения скрипта, отключите антивирусный монитор и отключитесь от сети.
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\wupdsvc7.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\syst7r.dll','');
QuarantineFile('C:\WINDOWS\system32\ramtmb.dll','');
QuarantineFile('c:\docume~1\evgen\locals~1\temp\winlogon.exe','');
DeleteFile('c:\docume~1\evgen\locals~1\temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ramtmb.dll');
DeleteFile('C:\WINDOWS\system32\syst7r.dll');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\wupdsvc7.exe');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
BC_DeleteSVC('protect');
BC_DeleteSVC('FCI');
BC_Importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=13530[/url] , как написано в прил.3 правил, и повторите логи.
Вот
В карантине пришли:
C:\Documents and Settings\evgen\Local Settings\Temp\winlogon.exe - Trojan-Proxy.Win32.Agent.qq
c:\docume~1\evgen\locals~1\temp\winlogon.exe - Trojan-Proxy.Win32.Agent.qq
(по классификации Касперского)
C:\WINDOWS\wupdsvc7.exe - Trojan.Inject.423 (по классификации Drweb)
Интересно, что на вирустотал многие антивирусы считают его модификацией пинча, поэтому, от греха подальше, лучше поменяйте все пароли, использующиеся на данной машине (на учетные записи пользователей, записи электронной почты, интернет-пейджеры, итд.).
В логах, по-моему, чисто, осталось разобраться с этим: [code]8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/code] - отключить, что не нужно (на машине, не включенной в локальную сеть, в принципе, можно отключить все). И еще, Касперский у вас так и остался выключенным - включите монитор. И видны еще две программы - сканера: XoftSpy и UnHackMe, причем последняя имеет активный монитор. Совместное использование нескольких AV-программ может само по себе вызвать проблемы в работе.
Спасибо, понял.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\evgen\\local settings\\temp\\winlogon.exe - [B]Trojan-Proxy.Win32.Agent.qq[/B] (DrWEB: Trojan.Packed.147)[*] c:\\docume~1\\evgen\\locals~1\\temp\\winlogon.exe - [B]Trojan-Proxy.Win32.Agent.qq[/B] (DrWEB: Trojan.Packed.147)[*] c:\\windows\\system32\\drivers\\protect.sys - [B]Rootkit.Win32.Agent.jj[/B] (DrWEB: Trojan.NtRootKit.429)[*] c:\\windows\\wupdsvc7.exe - [B]Trojan-Spy.Win32.Webmoner.es[/B] (DrWEB: Trojan.Packed.194)[/LIST][/LIST]