Порт 12346 TCP - Вирус NetBus

Писать о подозрениях много, пожалуйста просмотрите логи. У меня ноут с Vista Home Basic(лицезия). Антивирь- NOD32 v.2.7. В интернете через роутер и локальную сеть.

Выполните
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\system32\drivers\pxark.sys','');
QuarantineFile('C:\Windows\System32\Drivers\spof.sys','');
QuarantineFile('C:\Windows\System32\PRTmate.dll','');
BC_ImportQuarantineList;
BC_QrFile('C:\Windows\system32\drivers\pxark.sys');
BC_QrFile('C:\Windows\System32\Drivers\spof.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Затем пришлите этот карантин и карантин, полученный в ходе исследования

Пофиксьте
[code]O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)[/code]

А восстановление системы, антивирь и брендмауэр Windows отключить ?

Да

профиксил в HiJackThis. После нажатия на профиксить появилось это окно
[IMG]http://i015.radikal.ru/0801/8d/aa97b4c0d9ea.jpg[/IMG]

Карантин загрузили ?

Карантин загрузил с паролем , а также исследование системы выслал

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Исследование запускал из меню "Файл". Или нужно было по нормальному запустить исследование, всмысле через ПУСК.

ошибка hijackthis связана с особенностями виста необходимо его запускать ... как запустить от имени ... администратора ...
так же стоит поступать ис авз иначе скрипт не возымеет действия ...

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=ks07;170900] а также исследование системы выслал
[/QUOTE]
зачем ?

Хорошо, сделаю по новому, с правами администратора.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

[quote]зачем ?[/quote]
пост №2 "Затем пришлите этот карантин и карантин, полученный в ходе исследования". я понял, что нужно выслать 2 файла.

имелся в виду карантин ... все равно все будет в одном файле -архиве...

карантин загрузил, профиксил.

C:\Windows\system32\drivers\pxark.sys чистый
C:\Windows\System32\PRTmate.dll чистый
C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.ee [B]New Malware.aj[/B]
C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis True Image Home v10.0 and Acronis Snap Deploy v2.0 (english).exe [B]PUA.Packed.UPack-2[/B]
D:\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.exe [B]PUA.Packed.UPack-2[/B]
D:\Архив программ\Acronis\Registr\Keygens\Acronis True Image Home v10.0 and Acronis Snap Deploy v2.0 (english).exe [B]PUA.Packed.UPack-2[/B]
spof.sys - попробуйте поискать припомощи авз и пришлите по правилам ...

хорошо

[size="1"][color="#666686"][B][I]Добавлено через 1 час 3 минуты[/I][/B][/color][/size]

[quote=V_Bond;170918] C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.ee [B]New Malware.aj[/B]
C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis True Image Home v10.0 and Acronis Snap Deploy v2.0 (english).exe [B]PUA.Packed.UPack-2[/B][/quote]
архив карантина загрузил (с файлами на диске D). На диске C не нашел, как написано в правилах.
раньше эти файлы я вырезал и переносил на диск D, но почему они дублируются на диске С - не могу понять

нужного файла [B]spof.sys[/B] в присланном карантине нет ...

[quote=V_Bond;170918] C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.ee [B]New Malware.aj[/B]
[/quote]
Прошу обратить внимание, что у этого файла на дисках С и D разные расширения почему-то

[code]
C:\Windows\system32\drivers\pxark.sys чистый
C:\Windows\System32\PRTmate.dll чистый
C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.ee New Malware.aj
C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis True Image Home v10.0 and Acronis Snap Deploy v2.0 (english).exe PUA.Packed.UPack-2
D:\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.exe PUA.Packed.UPack-2
D:\Архив программ\Acronis\Registr\Keygens\Acronis True Image Home v10.0 and Acronis Snap Deploy v2.0 (english).exe PUA.Packed.UPack-2
[/code] эта было дано просто для информации .... кто есть кто так сказать ... что делать с Keygens вам решать ....

[quote=V_Bond;170937]нужного файла [B]spof.sys[/B] в присланном карантине нет ...[/quote]
только, что искал при помощи АВЗ - его нет

сделайте новый комплект логов ....

сделал новый комплект логов

Пожалуйста подскажите,меня интересуют также следующие пункты из лога по скрипту №2:
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
>>> Обратите внимание: Порт 12346 TCP - Вирус NetBus () ????
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-268 ) ???
>> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100) ???
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100) ???
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! (Я ИСПОЛЬЗУЮ ПК КАК ДОМАШНИЙ!)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) ???
>> Безопасность: Разрешены терминальные подключения к данному ПК ???
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов ???

выполните скрипт ...
[code]
begin
ClearQuarantine;
BC_QrSvc('igfx');
BC_QrSvc('ekrn');
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
[code]
>> Нарушение ассоциации REG файлов
[/code]
авз - мастер устранения проблем - выбрать все проблемы устранить ...
[code]
>> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-268)
>> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: Разрешены терминальные подключения к данному ПК
[/code]
компьютер домашний\ рабочий ... локальная сеть есть \ нет ... ?
лишнее можно закрыть ...

скрипт выполнил. Комп сам перезагрузился, карантин пустой, поэтому выслать не могу:
[IMG]http://i020.radikal.ru/0801/cc/4baac2b55ede.jpg[/IMG]
через мастер устранения проблем удачно выполнил с проблемой:
>> Нарушение ассоциации REG файлов.

Этих проблемам мастер не видит:
>> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-268 )
>> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
, или я чего-то не пойму.Пожалуйста поясните, как их решить. Компьютер домашний. Локальная сеть есть.

это не проблемы ... просто потенциально опасные службы ..
Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-268 )
>> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
этот скрипт отключит ненужное ... ( в вашем случае)
[code]
begin
SetServiceStart('TermService', 4);
SetServiceStart('Schedule', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
BC_DeleteSvc ('igfx');
BC_DeleteSvc ('ekrn');
BC_Activate;
RebootWindows(true);
end.
[/code]

скрипт выполнил. Выполнил стандартное сканирование АВЗ. В логе остались не решенные проблемы:
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 12 TCP портов и 7 UDP портов
[B]>>> Обратите внимание: Порт 12346 TCP - Вирус NetBus ()[/B]
8. Поиск потенциальных уязвимостей
[B]>> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)[/B]
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
[B]>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)[/B]

насчет потенциальных уязвимостей ... можем закрыть все но перестанет работать локалка ;)
насчет открытого порта ... реестр править умеете ?

На счёт локалки понял. Про реестр: не мастер, но попробую.

можно и без правки реестра обойтись вот нашел.... [url]http://www.firewallleaktester.com/tools/wwdc.exe[/url]

прогу запустил:
[IMG]http://i032.radikal.ru/0801/bf/7a3e2069c3eb.jpg[/IMG]
нажал "ок" :
[IMG]http://i024.radikal.ru/0801/74/fb9276b93b8a.jpg[/IMG]
подскажите, дальше что нажимать, с английским не в ладах и с тем, что делать тоже?

во первых запустить програмку от имени администратора ...
во вторых нажать на кнопочки ... на все ... и перегрузится ....

До поста №28, программа была запущена с правами админа, но всё же первое окно с ошибкой появилось. После поста №29 нажал на все кнопки (выполнилось всё, кроме последней кнопки) Перезагрузился, открыл эту программу с правами админа (также, как и в первый раз при отключенных: Антивирь, брэндмауэр виндовс, и восстановление системы). Сейчас окно программы имеет вид:
[IMG]http://i029.radikal.ru/0801/bf/705ae5e94f66.jpg[/IMG]
А при нажатии на последнюю кнопку:
[IMG]http://i048.radikal.ru/0801/39/d4fac19b9a82.jpg[/IMG]

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Реестр чистил не один раз, при помощи программы "jv16 PowerTools". Можно попробовать. И кстати, заметил, что не могу переключаться на английский текст. Из трея пропал этот значок, и нажатие альт+шифт - не помогает.

насчет ошибки(месенжера) ... похоже это связано с особенностями виста ... ничего страшного ..
насчет ... языков ... посмотрите в дополнительных параметрах клавиатуры (какими клавишами осуществляется переключение языков) ...

С клавиатурой вроде разобрался. Выполнил стандартное сканирование при помощи AVZ : пункт 6 всё ещё остаётся актуальным:
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 7 TCP портов и 5 UDP портов
>>> Обратите внимание: Порт 12346 TCP - Вирус NetBus ()

на виста не проверял .... закрытие портов .... через эту прграмму ... сейчас будем думать ...

хотелось бы определиться, с вашей помощью, это глюк программы AVZ или нужно копать эту проблему дальше?

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Читал в инете, что вирус NetBus - это старый вирус, который работает в старых операционных системах - до Windows XP. Если это актуально, то почему сейчас этот вирус видит AVZ?

авз видит не вирус ..... а открытый порт .... который может использоваться этим зловредом ....

Напомню, я в инете через роутер. Мой роутер на офф. сайте D-Link, описание и характеристики DI-704UP [url]http://www.dlink.ru/products/prodview.php?type=15&id=384[/url] Может с этим, что-то связано, т.к. в роутере есть принт-сервер

[size="1"][color="#666686"][B][I]Добавлено через 6 часов 3 минуты[/I][/B][/color][/size]

[quote=V_Bond;171427]авз видит не вирус ..... а открытый порт .... который может использоваться этим зловредом ....[/quote]
Я понял, извиняюсь. А порт 12346, необходимо закрыть?, и как сделать это?

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 44 минуты[/I][/B][/color][/size]

Подскажите, есть ли варианты отключить порт 12346 в Vista или нужно установить firewall от сторонних разработчиков, чтобы отключить этот порт? И ещё подскажите, firewall отдельно и мой роутер - вместе это общерекомендовано или достаточно одного роутера для защиты от хакеров?

давайте так ...
пуск - сетевые подключения - выбрать свое подключение ... - протокол tcp ip - свойства - дополнительно - параметры -фильтрация TCP/IP - Свойства - удалить вышеназванный порт ...

Я извиняюсь, но в Vista немного по другому(есть пункты "сеть" и , "подключение") , но я пошел через раздел ПУСК-СПРАВКА И ПОДДЕРЖКА:
[IMG]http://i027.radikal.ru/0801/de/79d2c2f38583.jpg[/IMG]
дальше:
[IMG]http://i010.radikal.ru/0801/bd/bd098a9bccbb.jpg[/IMG]
[B]а дальше не знаю как, подскажите[/B]

подробно расписать не могу ... нет виста под рукой ...
наверное проще поставить фаервол ...

За помощь , отдельная благодарность!!! Вопросы все исчерпаны!!! За исключением самого главного: ваш сайт и ваша бесплатная помощь существуют, для расположения доверия к антивирусу "Касперский"![B] Я правильно мыслю?[/B] Просто я сейчас пользуюсь триальным NOD32 v.2.7 и собираюсь приобретать офф. версию антивируса (с выбором не определился). Я нашел в инете 2, для меня важных мнения,что 1) NOD32 меньше грузит систему; 2)Можно "Касперский" правильно настроить, чтобы не грузил систему. [B]Могу ли я, как чайник, правильно настроить "Касперский"?[/B] И ещё: версия "Касперский+фаервол" и мой роутер лучше(всмысле фаервол с роутером будут вместе нормально работать?) или просто "Касперский" и мой роутер.