Получил червя с флэшки

Printable View

20.08.2008, 08:09
Сергеич

Вложений: 3

Получил червя с флэшки

Получил червя с флэшки, теперь оутпост ругается что меняются компоненты опера майкрософт оутлоока. А я в этих делах дуб дубом. Помогите, пожалуйста.

NOD его опознал как Win32/StartPage
20.08.2008, 09:55
V_Bond

в логах ничего зловредного ....
20.08.2008, 14:02
Сергеич

Странно...

До NOD я проверял дрвэбом, так он в карантин положил ещё два вируса:

Trojan.DownLoader.38491

и

Win32HLLW.Autoruner.origin

Теперь оутпост при запуске браузера (опера) говорит, что изменился компонент Generic Host Process for Win32 Services C:\windows\system32\undhisapi.dll
Я, соответственно, разрешение на изменение компонента не даю.

И при запуске майкрософт оффис оутлоок такая же фигня, только там компонентов dll сразу штук 6 предлагается изменить, а не один, как с оперой.

Может быть чистые логи связаны именно стем, что оутпост чётко блокирует всякую бяку? Как думаете? И что мне делать с этими сообщениями оутпоста? Как мне, ламеру, кажется - вирус есть, но вреда не наносит, потому что блокируется оутпостом. Как его удалять-то тогда?

[size="1"][color="#666686"][B][I]Добавлено через 1 час 45 минут[/I][/B][/color][/size]

Поднавляю, простите, тему, а то вдруг потеряется...

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Кроме того, у меня по данным оутпоста ломится процесс svchost.exe на какой-то левый сайт. Я его блокировал. Ломится каждые 5 сек. Журнал трещит...

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

Подновляю, простите, тему...
20.08.2008, 14:34
V_Bond

undhisapi.dll в логах нет ... (как впрочем и нода )
пришлите undhisapi.dll согласно приложения 2 правил .... ( а может все же udhisapi.dll ? )
20.08.2008, 15:17
Сергеич

[QUOTE]( а может все же udhisapi.dll ? )[/QUOTE] Ну конечно! Отправил...
20.08.2008, 15:26
V_Bond

чистый файл от майкрософт .... кроме паранои от аутпоста ничего плохого ...
20.08.2008, 15:38
Сергеич

Ясно. Я тогда обновлю в оутпосте эти компоненты обновлю и ещё раз логи завтра выложу.
20.08.2008, 15:40
V_Bond

ок
21.08.2008, 10:18
Сергеич

Вложений: 3

Выкладываю логи после обновления компонентов в оутпосте.
21.08.2008, 10:56
V_Bond

в логах ничего подозрительного ....
21.08.2008, 13:32
Сергеич

Понял. Спасибо! Простите за безпокойство.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 35 минут[/I][/B][/color][/size]

Тут собрат по несчастью пришет:

[QUOTE]Помогите пожалуйста!
Наверное у меня на кмпьютере вирус.
Симптомы заключаются в следующем:
- в памяти 7 процессов с именем svchost.exe
- один из них постоянно что-то отправляет и получает из инета
- если svchost.exe, который постоянно лезет в инет, удалить из списка процессов, он где-то через минуту снова запускается[/QUOTE]
[URL="http://virusinfo.info/showthread.php?t=28620"]http://virusinfo.info/showthread.php?t=28620[/URL]

У меня такая же беда.

Вот журнал оутпоста:

[QUOTE]Журнал заблокированных сегодня:
17:04:47 Недоступно ВХОД БЛОКИРОВАНО UDP localhost 1900 Запретить транзитные пакеты
16:49:53 Недоступно ВХОД БЛОКИРОВАНО UDP localhost 1900 Запретить транзитные пакеты
16:46:43 Недоступно ИСХ БЛОКИРОВАНО UDP 89.249.128.35 DNS Использован кэш DNS
16:34:58 Недоступно ВХОД БЛОКИРОВАНО UDP localhost 1900 Запретить транзитные пакеты
16:34:57 Недоступно ИСХ БЛОКИРОВАНО UDP 89.249.128.36 DNS Использован кэш DNS
16:20:04 Недоступно ВХОД БЛОКИРОВАНО UDP localhost 1900 Запретить транзитные пакеты
16:05:13 Недоступно ВХОД БЛОКИРОВАНО UDP localhost 1900 Запретить транзитные пакеты
16:05:04 svchost.exe ИСХ БЛОКИРОВАНО UDP 89.249.128.35 DNS Использован кэш DNS
15:57:15 svchost.exe ИСХ БЛОКИРОВАНО UDP 89.249.128.35 DNS Использован кэш DNS
15:50:15 Недоступно ВХОД БЛОКИРОВАНО UDP localhost 1499 Запретить транзитные пакеты
15:50:15 Недоступно ИСХ БЛОКИРОВАНО IGMP 224.0.0.22 0 Block IGMP
15:50:01 Недоступно ВХОД БЛОКИРОВАНО UDP localhost 1900 Запретить транзитные пакеты
15:50:01 Недоступно ВХОД БЛОКИРОВАНО UDP localhost 1483 Запретить транзитные пакеты
15:50:01 Недоступно ИСХ БЛОКИРОВАНО IGMP 224.0.0.22 0 Block IGMP
15:46:25 Недоступно ИСХ БЛОКИРОВАНО UDP 89.249.128.36 DNS Использован кэш DNS
15:39:18 Недоступно ИСХ БЛОКИРОВАНО UDP 89.249.128.36 DNS Использован кэш DNS
15:37:38 Недоступно ВХОД БЛОКИРОВАНО UDP localhost 1900 Запретить транзитные пакеты
15:34:57 Недоступно ИСХ БЛОКИРОВАНО UDP 89.249.128.36 DNS Использован кэш DNS
15:22:43 Недоступно ВХОД БЛОКИРОВАНО UDP localhost 1900 Запретить транзитные пакеты
15:21:09 Недоступно ИСХ БЛОКИРОВАНО UDP 89.249.128.35 DNS Использован кэш DNS

Журнал разрешённых сегодня:
17:15:16 outlook.exe ИСХ TCP pop.mail.ru POP3 Receive mail using Microsoft Outlook
17:15:16 outlook.exe ИСХ TCP pop.mail.ru POP3 Receive mail using Microsoft Outlook
17:15:12 svchost.exe ВХОД UDP 192.168.0.48 1027 Доверенная Зона
17:15:12 Недоступно ИСХ UDP 89.249.128.36 DNS Allow DNS resolving (UDP)
17:15:12 Недоступно ИСХ UDP 89.249.128.35 DNS Allow DNS resolving (UDP)
17:15:12 NETBIOS ВХОД UDP 192.168.0.48 NETBIOS_NS Доверенная Зона
17:15:11 svchost.exe ВХОД UDP 192.168.0.48 BOOTPC Доверенная Зона
17:15:10 svchost.exe ВХОД UDP 192.168.0.115 BOOTPC Доверенная Зона
17:15:10 svchost.exe ИСХ UDP 255.255.255.255 BOOTPC Generic Host Process DHCP connection
17:15:10 svchost.exe ВХОД UDP 192.168.0.1 BOOTPS Generic Host Process Local UDP connection
17:15:03 Недоступно ИСХ TCP 64.12.25.106 5190 Разрешить пакеты NAT
17:15:03 Недоступно ВХОД TCP 192.168.0.137 3405 Доверенная Зона
17:14:48 Недоступно ВХОД TCP mg.dt00.net HTTP Разрешить пакеты NAT
17:14:48 Недоступно ИСХ TCP 192.168.0.137 3811 Доверенная Зона
17:14:45 Недоступно ВХОД TCP nc.redtram.com HTTP Разрешить пакеты NAT
17:14:45 Недоступно ИСХ TCP 192.168.0.137 3801 Доверенная Зона
17:14:44 Недоступно ИСХ TCP 192.168.0.137 3799 Доверенная Зона
17:14:44 Недоступно ВХОД TCP js.ru.redtram.com HTTP Разрешить пакеты NAT
17:14:43 Недоступно ИСХ TCP 192.168.0.137 3796 Доверенная Зона
17:14:43 Недоступно ВХОД TCP js.ru.redtram.com HTTP Разрешить пакеты NAT

Журнал подозрительных пакетов:
17:28:21 89.249.128.36 UDP (62678)
17:28:21 89.249.128.35 UDP (62678)
17:23:30 89.249.128.35 UDP (62656)
17:23:30 89.249.128.36 UDP (62656)
17:20:47 89.249.128.35 UDP (62528)
17:20:47 89.249.128.36 UDP (62528)
17:19:03 89.249.128.35 UDP (62450)
17:19:03 89.249.128.36 UDP (62450)
17:15:12 89.249.128.36 UDP (62353)
17:15:12 89.249.128.35 UDP (62353)
17:13:24 89.249.128.35 UDP (62353)
17:13:23 89.249.128.36 UDP (62353)
17:07:37 89.249.128.36 UDP (62253)
17:07:37 89.249.128.35 UDP (62253)
17:02:36 89.249.128.36 UDP (62135)
17:02:36 89.249.128.35 UDP (62135)
17:00:11 89.249.128.35 UDP (62052)
17:00:11 89.249.128.36 UDP (62052)
16:56:12 89.249.128.35 UDP (62032)
16:56:12 89.249.128.36 UDP (62032)

[/QUOTE]

Походы на вот этот адрес появились только после того, как я словил виря с флэшки:
220.167.46.94
drsunbo2.gnway.net
21.08.2008, 14:08
V_Bond

ну пальцем покажите что тут плохого ... svchost.exe может висеть более двадцати это зависит только от запущенных служб ... читаете от сферы примениния машины ...
22.02.2009, 07:16
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]