Buffer Overrun!!!

[INDENT]Здравствуйте! Несколько дней назад произошла такая проблема: выскочило окошко проактивной защиты Касперского: Buffer Overrun. О том, что какая-то программа пытается перполнить буфер обмена (процесс в svchost). Я запретил попытку, но окошко возникло снова, затем снова. После 5 запретов выскочило сообщение об ошибке Windows:[/INDENT]


[INDENT][I]Программа Generic Host Process For Win 32 неожиданно завершила свою работу. Через 50 секунд произойдет вынужденная перезагрузка компьютера. Все несохраненые данные будут утеряны.[/I][/INDENT]


[INDENT]После перезагрузки, минут через 5 вновь начали появляться Buffer Overrun'ы. Я, предчувствуя недоброе, установил файервол (да, у меня его не было до этого;)) Zone Alarm Pro и началось.... за 5 минут 30 хакерских атак, еще через 10 попытка доступа к svchost с рейтингом угрозы High.[/INDENT]

[INDENT]Я быстро перезагрузился в Безопасный Режим, сделал полную проверку Касперским (он нашел какой-то слабенький вирус), AdAware, SpyBot'ом. Несколько шпионов были уничтожены.[/INDENT]

[INDENT]Со спокойной совестью я презагрузился в нормальный режим, но не изменилось ровным счетом ничего: атаки, Buffer Overrun (даже сейчас это окошко висит!). С тех пор все повторяется... уже отражено 6677 (!) атак. а однажды всплыло сообщение:[/INDENT]


[INDENT][I]Zone Alarm Pro: перегрузка процесса, защита отключена.[/I][/INDENT]


[INDENT]С тех пор скорость интернета упала в 2 раза, постоянно висит окошко Buffer Overrun, атаки... Не знаю, что делать....[/INDENT]


[INDENT]P.S. AVZ при проверке очень много пишет что-то вроде "Функция заблокирована........." и выделяет это красным цветом. Что это такое?[/INDENT]

[INDENT]P.P.S. Лог я решил не делать пока, т.к. антивирусом ничего не обнаруживается, но если нужно - только скажите, сделаю.[/INDENT]

[INDENT]P.P.S. Так как я столкнулся с подобным впервые, то не исключаю, что вел себя неправильно. Не ругайте сильно :).[/INDENT]

[INDENT]Заранее, спасибо![/INDENT]

Выполните скрипт, карантин по правилам.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ljjhigh.dll','');
QuarantineFile('C:\WINDOWS\System32\ljjhigh.dll','');
QuarantineFile('C:\WINDOWS\retadpu2000218.exe','');
QuarantineFile('zlclient.exe','');
QuarantineFile('c:\windows\retadpu2000218.exe','');
QuarantineFile('c:\program files\ipwindows\ipwins.exe','');
QuarantineFile('ljjhigh.dll','');
QuarantineFile('$$.exe','');
QuarantineFile('srescan.sys','');
QuarantineFile('\SystemRoot\System32\DRIVERS\xcrdisk.sys','');
QuarantineFile('vidstub.sys','');
QuarantineFile('cryptstd.sys','');
QuarantineFile('C:\WINDOWS\System32\ljjhigh.dll','');
QuarantineFile('C:\WINDOWS\System32\LIBEAY32_0.9.6l.dll','');
QuarantineFile('c:\windows\system32\svshost.exe','');
QuarantineFile('c:\nzlrs.exe','');
QuarantineFile('c:\msetus.exe','');
QuarantineFile('c:\windows\system32\drivers\imountsrv.exe','');
QuarantineFile('c:\windows\system32\drivers\crauto.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]

Спасибо, выполнил скрипт, однако, атаки (значительно меньше!) продолжают поступать.
И еще одно:
[QUOTE] QuarantineFile('c:\windows\system32\[B]svshost[/B].exe'[/QUOTE]
Может вы имели ввиду svchost?

[quote]Может вы имели ввиду svchost?[/quote][b]Alex_Goodwin[/b] имел ввиду именно [b]svshost.exe[/b]

После всех проделанных действий в списке автозагрузки несколько элементов обозначены как $$. Я подумал, что это показаны заблокированные вирусы, но в списке этих программ и файервол тоже... Значит ли это, что он тоже заражен?
P.S. Атаки все идут...

[QUOTE=Fabricator;111236]Спасибо, выполнил скрипт, однако, атаки (значительно меньше!) продолжают поступать.
[/QUOTE]
Лечение еще не начиналось. Вас просили прислать карантин, по правилам. Вы этого до сих пор не сделали.

Карантин создал и выслал по правилам.

Почему-то в карантине отсутствуют файлы:
[B]c:\program files\ipwindows\ipwins.exe [/B](=avz00001.dta)
[B]c:\nzlrs.exe [/B](=avz00006.dta)
хотя в *.ini указано, что они добавлены успешно.
Поищите их и пришлите, как описано в приложении 2 правил.
Да и новые логи надо сделать, столько времени прошло, многое могло измениться.

Как и было предложено высылаю новые логи:
P.S. Файлов [B]ipwins.exe[/B] и[B] nzlrs.exe[/B] не обнаружил. Может KAV удалил их?
P.P.S. Извиняюсь за заминку с отправкой карантина. Были технические проблемы с соединением.

1. Выполните скрипт: [CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ljjhigh.dll','');
QuarantineFile('C:\WINDOWS\system32\ljjhigh.dll','');
QuarantineFile('\SystemRoot\System32\DRIVERS\xcrdisk.sys','');
QuarantineFile('vidstub.sys','');
QuarantineFile('srescan.sys','');
QuarantineFile('cryptstd.sys','');
QuarantineFile('\SystemRoot\System32\DRIVERS\imounter.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\drivers\hmonitor.sys','');
QuarantineFile('Z:\Игры\Старые игры\Carmageddon\N3 vdmslaunchpad.v1.0.1.1\LaunchPad.dll','');
QuarantineFile('C:\WINDOWS\System32\LIBEAY32_0.9.6l.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\crauto.exe','');
QuarantineFile('C:\WINDOWS\System32\atipdlxx.dll','');
QuarantineFile('c:\windows\system32\drivers\imountsrv.exe','');
QuarantineFile('c:\windows\system32\drivers\crauto.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
2. Пофиксить: [CODE]O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - (no file)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {CD1C0C84-288D-454C-A3F3-3505EFCE6145} - C:\WINDOWS\system32\ljjhigh.dll (file missing)
O15 - Trusted Zone: *.p0rt2.com
O20 - Winlogon Notify: ljjhigh - ljjhigh.dll (file missing)
[/CODE]
3. Карантин по правилам, только не затягивайте.

Карантин отослал, все, что нужно, - пофиксил. Жду дальнейших указаний...

Присланные файлы чистые. Проблемы остались?

Да, атаки все еще идут. Мало, но идут. Плюс раз в неделю появляются 4 AdAware. Всегда одинаковые.

Отключите службы из [url=http://forum.kaspersky.com/index.php?showtopic=30184]этого[/url] списка. Помогло?

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]48[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]