Printable View
Доброго времени суток!
Я уже видел в этом форуме такую проблему. В общем, под explorer.exe запускается какая-та дрянь, создающая очень много сетевых подключений по 80-му порту.
Process Explorer видит их как explorer.exe:mian.nest.8.33 и explorer.exe:submitter5.jpg. Тем же Process Explorer'ом они убиваются на раз, но делать это каждый раз несколько напрягает. В общем, помогите люди добрые!
выполните в АВЗ ...
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ser2pl.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\PROCEXP111.SYS','');
QuarantineFile('C:\WINDOWS\explorer.exe:submitter5.jpg','');
QuarantineFile('C:\WINDOWS\explorer.exe:mian.nest.8.33','');
QuarantineFile('C:\WINDOWS\explorer.exe:log.dump:$DATA','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Вышлети карантин согласно п.3 правил.
Спасибо за понимание.
Сделал, выслал.
Однако эти процессы все равно крутятся...
C:\WINDOWS\explorer.exe:submitter5.jpg - [B]Trojan-Spy.win32.Banker.bho[/B]
По поводу остального подождём ответа вирлаба
Выполние в АВЗ
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\explorer.exe:submitter5.jpg:$DATA','');
QuarantineFile('C:\WINDOWS\system32\Drivers\PROCEXP111.SYS','');
DeleteFile('C:\WINDOWS\explorer.exe:submitter5.jpg');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузите карантин по правилам.
в карантине ...
C:\WINDOWS\explorer.exe:submitter5.jpg [B]Trojan-Spy.Win32.banker.hbo[/B]
C:\WINDOWS\explorer.exe:mian.nest.8.33[B] Generic.Malware.Fdldg.DE0AEA2E[/B]
C:\WINDOWS\system32\DRIVERS\ser2pl.sys - чистый
C:\WINDOWS\explorer.exe:log.dump:$DATA - подождем заключение вирлаба ...(похоже что-то свежее)
Выслал новую версию.
После загрузки опять обнаружил богопротивную explorer.exe:mian.nest.8.33 в списке процессов...
его еще никто не трогал .... ;) давайте дождемся ответа аналитиков по интересующим файлам .... а потом все сразу будем чистить ...
PROCEXP111.SYS-от процесс экплорера скорее всего. А вот эти файлы в потоке ntfs мне не нравяться.
Кто за то чтобы замочить ? ;-)
в карантине C:\WINDOWS\explorer.exe:submitter5.jpg:$DATA - Trojan-Spy.win32.Banker.bho
C:\WINDOWS\system32\Drivers\PROCEXP111.SYS - в карантин не хочет:dry:
Пришлите по правилам файл PROCEXP111.SYS
пусть поживут минут ... эдак пять-десять .... что бы узнать название .. ;)
Значит, ждем нового (первого?) трудового дня? ;)
Кстати, я не понял, explorer.exe:submitter5.jpg и explorer.exe:mian.nest.8.33 это что, совсем разные вещи? Просто из экспериментов с Process Explorer'ом я заметил, что если убить все процессы explorer.exe:mian.nest.8.33, то ни одного нового explorer.exe:submitter5.jpg не появляется...
[QUOTE=drongo;169103]А вот эти файлы в потоке ntfs мне не нравяться.
Кто за то чтобы замочить ? ;-)[/QUOTE]Я ))))
[QUOTE=Mr.TorT;169107]Значит, ждем нового (первого?) трудового дня? ;)
Кстати, я не понял, explorer.exe:submitter5.jpg и explorer.exe:mian.nest.8.33 это что, совсем разные вещи? Просто из экспериментов с Process Explorer'ом я заметил, что если убить все процессы explorer.exe:mian.nest.8.33, то ни одного нового explorer.exe:submitter5.jpg не появляется...[/QUOTE]
[QUOTE=V_Bond;169098]в карантине ...
C:\WINDOWS\explorer.exe:submitter5.jpg [B]Trojan-Spy.Win32.banker.hbo[/B]
C:\WINDOWS\explorer.exe:mian.nest.8.33[B] Generic.Malware.Fdldg.DE0AEA2E[/B]
[/QUOTE]
как говорят в Одессе .... две большие разницы ....
[quote=wise-wistful;169105]в карантине C:\WINDOWS\explorer.exe:submitter5.jpg:$DATA - Trojan-Spy.win32.Banker.bho
C:\WINDOWS\system32\Drivers\PROCEXP111.SYS - в карантин не хочет:dry:
Пришлите по правилам файл PROCEXP111.SYS[/quote]
Нету такого...
C:\WINDOWS\explorer.exe:mian.nest.8.33 - [B]Backdoor.Win32.Agent.dqf[/B] (по касперскому)
выполните скрипт в АВЗ ..
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\WINDOWS\explorer.exe:mian.nest.8.33');
DeleteFile('C:\WINDOWS\explorer.exe:submitter5.jpg:$DATA');
DeleteFile('C:\WINDOWS\explorer.exe:submitter5.jpg');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
повторите логи ....
Сделал.
Вроде чисто.
Да побороли:rolleyes:
Из этого что-то нужно
[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/QUOTE]
[quote=wise-wistful;169175]
Из этого что-то нужно[/quote]
Нехай, пусть живут...
Ещё раз спасибо. Очень не хотелось переставлять систему. В апреле будет 2 года, для рабочего ноута это достижение...
ЗЫ Эту дрянь антивиры ловить будут? Меня в первую очередь Dr.Web интересует?..
Можете отправить карантин аналитикам Др. Веба, тогда точно знать будут.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\explorer.exe:mian.nest.8.33 - [B]Backdoor.Win32.Agent.dqf[/B] (DrWEB: BackDoor.Nest)[*] c:\\windows\\explorer.exe:submitter5.jpg - [B]Trojan-Banker.Win32.Banker.hbo[/B] (DrWEB: Trojan.PWS.Banker.14622)[*] c:\\windows\\explorer.exe:submitter5.jpg:$data - [B]Trojan-Banker.Win32.Banker.hbo[/B] (DrWEB: Trojan.PWS.Banker.14622)[/LIST][/LIST]