Порт 12346 TCP - Вирус NetBus

Писать о подозрениях много, пожалуйста просмотрите логи. У меня ноут с Vista Home Basic(лицезия). Антивирь- NOD32 v.2.7. В интернете через роутер и локальную сеть.

Выполните
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\system32\drivers\pxark.sys','');
QuarantineFile('C:\Windows\System32\Drivers\spof.sys','');
QuarantineFile('C:\Windows\System32\PRTmate.dll','');
BC_ImportQuarantineList;
BC_QrFile('C:\Windows\system32\drivers\pxark.sys');
BC_QrFile('C:\Windows\System32\Drivers\spof.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Затем пришлите этот карантин и карантин, полученный в ходе исследования

Пофиксьте
[code]O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)[/code]

А восстановление системы, антивирь и брендмауэр Windows отключить ?

Да

профиксил в HiJackThis. После нажатия на профиксить появилось это окно
[IMG]http://i015.radikal.ru/0801/8d/aa97b4c0d9ea.jpg[/IMG]

Карантин загрузили ?

Карантин загрузил с паролем , а также исследование системы выслал

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Исследование запускал из меню "Файл". Или нужно было по нормальному запустить исследование, всмысле через ПУСК.

ошибка hijackthis связана с особенностями виста необходимо его запускать ... как запустить от имени ... администратора ...
так же стоит поступать ис авз иначе скрипт не возымеет действия ...

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=ks07;170900] а также исследование системы выслал
[/QUOTE]
зачем ?

Хорошо, сделаю по новому, с правами администратора.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

[quote]зачем ?[/quote]
пост №2 "Затем пришлите этот карантин и карантин, полученный в ходе исследования". я понял, что нужно выслать 2 файла.

имелся в виду карантин ... все равно все будет в одном файле -архиве...

карантин загрузил, профиксил.

C:\Windows\system32\drivers\pxark.sys чистый
C:\Windows\System32\PRTmate.dll чистый
C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.ee [B]New Malware.aj[/B]
C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis True Image Home v10.0 and Acronis Snap Deploy v2.0 (english).exe [B]PUA.Packed.UPack-2[/B]
D:\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.exe [B]PUA.Packed.UPack-2[/B]
D:\Архив программ\Acronis\Registr\Keygens\Acronis True Image Home v10.0 and Acronis Snap Deploy v2.0 (english).exe [B]PUA.Packed.UPack-2[/B]
spof.sys - попробуйте поискать припомощи авз и пришлите по правилам ...

хорошо

[size="1"][color="#666686"][B][I]Добавлено через 1 час 3 минуты[/I][/B][/color][/size]

[quote=V_Bond;170918] C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.ee [B]New Malware.aj[/B]
C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis True Image Home v10.0 and Acronis Snap Deploy v2.0 (english).exe [B]PUA.Packed.UPack-2[/B][/quote]
архив карантина загрузил (с файлами на диске D). На диске C не нашел, как написано в правилах.
раньше эти файлы я вырезал и переносил на диск D, но почему они дублируются на диске С - не могу понять

нужного файла [B]spof.sys[/B] в присланном карантине нет ...

[quote=V_Bond;170918] C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.ee [B]New Malware.aj[/B]
[/quote]
Прошу обратить внимание, что у этого файла на дисках С и D разные расширения почему-то

[code]
C:\Windows\system32\drivers\pxark.sys чистый
C:\Windows\System32\PRTmate.dll чистый
C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.ee New Malware.aj
C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis True Image Home v10.0 and Acronis Snap Deploy v2.0 (english).exe PUA.Packed.UPack-2
D:\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.exe PUA.Packed.UPack-2
D:\Архив программ\Acronis\Registr\Keygens\Acronis True Image Home v10.0 and Acronis Snap Deploy v2.0 (english).exe PUA.Packed.UPack-2
[/code] эта было дано просто для информации .... кто есть кто так сказать ... что делать с Keygens вам решать ....

[quote=V_Bond;170937]нужного файла [B]spof.sys[/B] в присланном карантине нет ...[/quote]
только, что искал при помощи АВЗ - его нет

сделайте новый комплект логов ....

сделал новый комплект логов

Пожалуйста подскажите,меня интересуют также следующие пункты из лога по скрипту №2:
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
>>> Обратите внимание: Порт 12346 TCP - Вирус NetBus () ????
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-268 ) ???
>> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100) ???
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100) ???
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! (Я ИСПОЛЬЗУЮ ПК КАК ДОМАШНИЙ!)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) ???
>> Безопасность: Разрешены терминальные подключения к данному ПК ???
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов ???