nssm.exe

nssm.exe - лечу Касперским, потом опять появляеться и инет пропадает и так по кругу, с переодичность в час, два, день...

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

[CODE]begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\nssm.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva');
DeleteFile('C:\WINDOWS\system32\nssm.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]Загрузите файл quarantine.zip, используя ссылку [URL]http://virusinfo.info/upload_virus.php?tid=75635[/URL]

4. Повторите лог [B]virusinfo_syscheck.[/B]

Хотел кинуть карантин по вашей ссылке выдало:"Результат загрузки
Ошибка загрузки. Данный файл уже был загружен". Решил посмотреть его, он пуст... Может вам кинуть virusinfo_cure.zip? Прикрепляю virusinfo_syscheck.zip...

Ну что помощь не подоспеет?!

В логах чисто.
Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- поставите все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.adobe.com/go/EN_UK-H-GET-READER"]Adobe Reader[/URL] или удалите старый

Все сделал как вы сказали, вирус до сих пор появляется постоянно... Щас он у меня в каспере в карантине! Что делать?!

Повторите логи.

Вот...

Ничего плохого не увидела.

Cтранно потому что плохое есть и это есть переодически повторяется, вчера опять убил его, сегодня с утра он сново был и я опять его убил... Жду продолжения истории... :)

Съемные носители подключали?

Выполните в AVZ скрипт [url=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Вот лог!

[QUOTE=AndreyKa;636025]и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.[/QUOTE]

Все сделал как вы сказали, пишет что уязвимости не обнаруженны.... Подождем недельку посмотрим, что будет... Вопрос по скрипту, он обнавляется или как?! Как в последующим можно будет обнаружить новые появившиеся уязвимости?! Спасибо за помощ! Надеюсь на этом все закончится...

[URL="http://virusinfo.info/showthread.php?t=73352"]Скрипт AVZ для обнаружения опасных уязвимостей[/URL]

И снова он возвращается... При этом теперь у меня перестал реагировать на него антивирь... А если при загрузке его не убить вручную по быстренькому, то при проверки AVZ комп уходит в синий экран... Беда полная... Все файлы прилогаю...

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\nssm.exe','');
DeleteFile('C:\WINDOWS\system32\nssm.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkShareSessionManager');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Карантин по ссылке отправил... Выкладываю новые логи...

Запустите AVZ.
Выполните скрипт через меню Файл:
[code]begin
DeleteService('Fdcsnmsnwv');
QuarantineFile('Fdcsnmsnwv.sys','');
DeleteFile('Fdcsnmsnwv.sys');
end.[/code]Проблема решена?

Cпасибо! Я думаю будет видно по прошествию какого то времени!

Долго ждать он не заставил... По пришествию на работу с утра инет снова не работал, а в диспетчере все тот же nssm... Кстати я не уерен, но по моему ваш скрипт не удалил данный файл... Но я не уверен... Логи прилагаю...

Дата создания файла nssm.exe - 01.06.2010 21:32:01, так что это новый файл.

Поставьте надежный пароль на учетные записи с правами Администратора.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\nssm.exe','');
SetServiceStart('Fdcsnmsnwv', 4);
BC_DeleteSvc('Fdcsnmsnwv');
DeleteFile('C:\WINDOWS\system32\nssm.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','NetworkShareSessionManager');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

Очистите карантин. Проведите процедуру, описанную в первом сообщении тут: [url]http://virusinfo.info/showthread.php?t=3519[/url]

Карантин выслал... Сисчек прилагаю...

Чисто.

[QUOTE=AndreyKa;648067]Чисто.[/QUOTE]
Будем надееться :)

Я уже и не знаю что делать... Не сдается он... Все прилогаю...

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\nssm.exe','');
QuarantineFile('C:\Program Files\Network Assistant\Nassi.exe','');
DeleteFile('C:\Program Files\Network Assistant\Nassi.exe');
DeleteFile('C:\WINDOWS\system32\nssm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','Network Assistant');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Поделитесь, где берёте новые версии этого зловреда?

[QUOTE=AndreyKa;650938]
Поделитесь, где берёте новые версии этого зловреда?[/QUOTE]
Хорошо... Завтро все сделаю как вы сказали... Честоно не где не беру - он сам приходит, при том что стоит лицензионный каспер и обнавляется много раз в день!!!... :(

Карантин отправил... Лог прикрепляю!

В карантине ещё один новый вариант зловреда.
В логе чисто.
Кто-нибудь, кроме вас, использует или имеет доступ через сеть к этом компьютеру с правами Администратора?

[QUOTE=AndreyKa;651265]В карантине ещё один новый вариант зловреда.
В логе чисто.
Кто-нибудь, кроме вас, использует или имеет доступ через сеть к этом компьютеру с правами Администратора?[/QUOTE]
Не уверен, но помоему нет... Но через меня идет весь инет по Юзер гейту в сети... Может сменить пароль?! :)

Не помешает.

Кхм... Вообщем вчера завис комп... Я тут же решил что надобы выслать лог, пришел с утра врубил, nssm не было, думаю чтоб народ не матерился после обеда поставлю сделаю логи, пошел со спокойной душой на обед, возвращаюсь... Бац инета нет, диспетчер задач - вот он родной nssm... П.С.: Пароль сменил... У меня начинает болеть голова :)

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\nssm.exe','');
DeleteFile('C:\WINDOWS\system32\nssm.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

Карантин выслал..

В карантине 4-й вариант зловреда. Пока что, никем не детектируется.
В логе снова чисто. :)
+
Детект DrWeb - Win32.HLLW.MyBot означает, что зловред относится к классу Черви (Worm). И скорее всего, для распространения он использует уязвимости в Windows и слабые пароли (или имеющийся доступ к другим компьютерам через сеть). Проверьте компьютер утилитой [url]http://technet.microsoft.com/ru-ru/security/cc184923.aspx[/url]

Хорошо, завтро сделаем, спасибо!

Вообщем сканит он комп, потом по формированию отчета выдает ошибку сценария IE спрашивает продолжить ли, я отвечаю да и получаю пустой отчет...

Пока не появлялся - но что то начил инет подтупливать, комп пока не подвисал, но на всякий случай...

Прошло больше двух недель и все было отлично! Пока не появился "Юпи"... Такое ощущение что все это происходит после определенного события... Обязательно опдвисает комп, потом надпись про очень сильную ошибку винды и отправлять не отправлять отчет и... На тебе Nssm... Может это с сети?! Может выложить логи со всех компов в сетке?! :)