nssm.exe

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\rpcs.exe','');
QuarantineFile('C:\WINDOWS\system32\nssm.exe','');
DeleteFile('C:\WINDOWS\system32\nssm.exe');
DeleteFile('C:\WINDOWS\system32\rpcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkShareSessionManager');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','NetworkShareSessionManager');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System','EventMessageFile');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

[QUOTE='st.diesel;661732']Может это с сети?! Может выложить логи со всех компов в сетке?! [/QUOTE]Может. А сколько их у вас? :)

К сожалению rpcs удалил каспер... Что косается компов - то у нас их в районе 13 ти :)
Результат загрузкиФайл сохранён как 100628_123626_virus_4c285f0a34da5.zip
Размер файла 156447
MD5 ad89d289c37556b1767b57c167e17c09

В логе чисто.
В карантине свежий зловред.
[QUOTE='st.diesel;661870']Что косается компов - то у нас их в районе 13 ти[/QUOTE]Это не старашно. Такое количиство можно и ногами обойти.

Хорошо... Завтро все логи будут...

Нужно будет на всех машинках менять пароли, удалять админ-шару и ставить все заплатки.

Кхм почему то не хочет все сразу ща дошлю...

Для каждого компьютера надо создать отдельную тему и в ней выложить его логи. Таковы Правила.

и добавочка... кстати осталось еще два компа, но их я смогу только завтро с утричка проверить - два файловых сервера...

Блин... Хорошо... А можно архивом кидать syscure check и hi?

[size="1"][color="#666686"][B][I]Добавлено через 51 минуту[/I][/B][/color][/size]

[url]http://virusinfo.info/showthread.php?t=82080[/url] Скачал по этой теме и нечайно запустил на своем компе, после быстрой проверки поделив пополам эксплорер и опера загрузили ЦП на 100%, убил оперу, но комп не перестал тупить, только после ребута ожил... Это нормально?!

Вы лог сохранили? Приложите сюда.

Нет... Сделаю...

[size="1"][color="#666686"][B][I]Добавлено через 5 часов 26 минут[/I][/B][/color][/size]

Без зависания получилось его запустить только с 3го раза... Пришел на работу через три часа... И о чулдо, он еще сканирует, комп тупит зверски, ни на что кроме перемещения окна не реагирует... Оперу перед запуском не отрубил... Останавил проверку, думал сохранить лог хотябы того что есть, комп подвис... Получилось только запустить диспетчер задач... опять экслорер и опера поделили пополам 100% загрузку ЦП... Убил оперу и еще кучу процессов, в том чесле и экслорер с дальнейшим перезапуском, не помогло... Вообщем попытаюсь завтро вечером еще раз... Печально как то :)

Кхм... Уже бросить бы это занятие да винду снести... Но охото ж добить сволоч...

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\nssm.exe','');
DeleteFile('C:\WINDOWS\system32\nssm.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Кстати говоря, по поводу Windows, у системных файлов не стандартная для SP3 дата модификации. Что это за дистрибутив такой? Была установленна Beta версия SP3?

Результат загрузкиФайл сохранён как 100630_113222_virus_4c2af306f1405.zip
Размер файла 16202
MD5 39f2d4ded6d4956ff414bd403ff78350

Файл закачан, спасибо!
_____________________________________________
По поводу СП3, было давно и не правда, не помню я! Изначально стоит лицензия СП2! А обновлялся я давненько...

И кстати в этот раз каспер наконец среагировал на nssm... Раньше вообще без эмоций... Пыиаюсь сделать лог пока не получается!!!

Да, антивирус удалил nssm из карантина.

[QUOTE='st.diesel;663068']Пыиаюсь сделать лог пока не получается!!![/QUOTE]В чём проблема?

Первый раз комп тупо завис... Вернее AVZ, второй раз все получилось!

Снова чисто.
Посмотрите в списке установленных программ, SP3 там под каким именем значится? Когда был установлен?

Блин не написанно когда... Написанно Windows XP Service Pack 3...
Еще меня смущает всякие процессы секундные при загрузки винды - типа Nmkeyscan.exe и тому подобного... Да кстати, пытаюсь выяснить, но не нахожу пока объяснения, с утра и до сих пор не хочет нормально работать usergate... :(

Похоже, дело идет к переустановке Windows :(

Да я и сам это чую... Просто после работы оставаться не охото, а иначе меня бухгалтера съедят с головой... Да и за три года пора бы... :) Да и хотелось зловреда победить а то начали и не закончили!

[size="1"][color="#666686"][B][I]Добавлено через 52 минуты[/I][/B][/color][/size]

Оффтоп: Где можно взять достойный faq по AVZ и другим утилитам?! Чтоб потихоньку самому разобраться в работе данных утилит?! Да и вообще может, что в вирусологии посоветуете?!

К AVZ справка прилагается. Есть и онлай справка - [url]http://z-oleg.com/secur/avz_doc/[/url]
Утилит много есть полезных и разных. Надо с каждой в отдельности разбираться.
А вообще, в вирусологии я бы посоветовал проверку с загрузочного CD - самоё надежное средство.

Сегодня опять появлялся prcs и инет пропадал, к сожалению комп подвис и лог с ним не удалось сделать! Скоро наверно появится и nssm, мне кажется prcs как бы предшествиник какой то... Логи сделал на всякий случай - высылаю!

Не видно ничего подозрительного.

Выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]

___________________________________________________________________________________
Результат загрузкиФайл сохранён как 100703_123141_virusinfo_files_SPARK_4c2ef56d7a46b.zip
Размер файла 12318882
MD5 777bd7d39019d0a17fb31fc7aba9184e

Файл закачан, спасибо!
___________________________________________________________________________________
rpcs - лежит в system32 - может быть мне его заархивить и прислать?!

[size="1"][color="#666686"][B][I]Добавлено через 36 минут[/I][/B][/color][/size]

rpcs.exe ?!

Присылайте.

После того, как файл пришлете, сделайте [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]

Результат загрузкиФайл сохранён как 100705_065637_virus_4c3149e57df33.zip
Размер файла 151639
MD5 776845c5f5400fc66e3d9ef3718df466

Файл закачан, спасибо!

Combofix...

Лог в порядке

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

А с карантином что?!

Отправлен в вирлаб

Резултат будет здесь?!

[B]Trojan.Win32.VB.ahqi[/B]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]7[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\nssm.exe - [B]Backdoor.Win32.IRCBot.pif[/B] ( DrWEB: Win32.HLLW.MyBot, AVAST4: Win32:Trojan-gen )[*] c:\windows\system32\nssm.exe - [B]Net-Worm.Win32.Kolab.jhy[/B] ( DrWEB: Win32.HLLW.MyBot, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\nssm.exe - [B]Trojan.Win32.Gibi.ec[/B] ( DrWEB: BackDoor.IRC.Sdbot.12924, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\nssm.exe - [B]Trojan.Win32.VB.agbj[/B] ( DrWEB: Trojan.Inject.8861 )[*] c:\windows\system32\rpcs.exe - [B]Trojan.Win32.VB.ahqi[/B] ( DrWEB: Trojan.Packed.20502, BitDefender: Trojan.Generic.4529954, AVAST4: Win32:Malware-gen )[/LIST][/LIST]