Неизвестные запросы

Printable View

24.07.2009, 13:34
Маяк

Вложений: 3

Неизвестные запросы

День добрый, с недавних пор svchost.exe стал выдавать запросы на входящие соединения с адреса gv.eridan при включении и выключении интернета. Также на днях nod32 поймал в C:\System Volume Information\_restore{EA6E51F0-EF1A-44AB-BBA4-ED58448FC731}\RP52\A0089552.dll Win32/TrojanClicker.Agent.NGF, возможно из-за него эта проблема и происходит. Прошу о помощи:)
24.07.2009, 14:12
Rene-gad

[COLOR="Red"][B]Восстановление системы: включено[/B][/COLOR]????

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('gxvxcserv.sys','');
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('%systemroot%\system32\drivers\gxvxcserv.sys');
DeleteService('Bonjour Service');
DeleteFile('%programfiles%\bonjour\mdnsresponder.exe');
DeleteFile('%programfiles%\bonjour\mdnsNSP.dll');
DeleteFile('%programfiles%\Bonjour\ExplorerPlugin.dll');
DelCLSID('{9999A076-A9E2-4C99-8A2B-632FC9429223}');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(14);
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
24.07.2009, 15:26
Маяк

Вложений: 3

карантин скинул, логи приложил

Пост мертвый...
24.07.2009, 16:52
Rene-gad

[QUOTE=Маяк;437254]Пост мертвый...[/QUOTE]
А чего - очень спешно надо? Сделайте format c:\ - будет намного быстрее.

Лог gmer сделайте - в Чаво есть инструкция.
24.07.2009, 17:40
Маяк

Вложений: 1

ага, лог ниже
24.07.2009, 18:02
Rene-gad

Сохраните код в текстовом файле
[CODE]gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\gxvxcserv"
gmer.exe -del file "%systemroot%\system32\drivers\gxvxcbpcbfxmbphqywbrshyxiwulnkbymwvin.sys"
gmer.exe -del file "%systemroot%\system32\gxvxcgxvdlymsiesixrmpygpurtetidqvpavb.dll"
gmer.exe -reboot[/CODE]
в том каталоге, где gmer под именем [B]123.bat[/B] и запустите его. После перезагрузки повторите лог gmer.
24.07.2009, 18:11
Маяк

завтра вечером сделаю, щас уже времени нет
25.07.2009, 18:30
Маяк

пишит не найден указаный модуль
25.07.2009, 19:15
pig

Не найден - и ладно. Дойдите с этим скриптом до конца и сделйте новый лог.
29.07.2009, 10:35
Маяк

Вложений: 1

Прикрепил новый лог
29.07.2009, 10:44
Rene-gad

Вы 123.bat где сохранили? Его надо из той же папки, где лежит gmer.exe запускать. Повторите его запуск, всё осталось без изменений.
29.07.2009, 10:47
Маяк

там и сохранил, где gmer. вновь запустил, и опять не найден указанный модуль
29.07.2009, 10:53
Rene-gad

Попробуйте измененный скрипт под именем 321.bat ;)
[CODE]
gmer.exe -del service gxvxcserv
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\gxvxcserv"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\gxvxcserv.sys"
gmer.exe -del file "C:\WINDOWS\system32\drivers\gxvxcbpcbfxmbphqywbrshyxiwulnkbymwvin.sys"
gmer.exe -del file "C:\WINDOWS\system32\gxvxcgxvdlymsiesixrmpygpurtetidqvpavb.dll"
gmer.exe -reboot[/CODE]
29.07.2009, 11:06
Маяк

ок

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

И вновь не найден. в последнем сообщении написано ''an error 0x00000002 occured during the deletion of file" и путь к драйверу, который надо удалить
29.07.2009, 11:20
Rene-gad

Запустите gmer.exe , закладка File , пройдите в каталог C:\WINDOWS\system32\drivers\ поищите файл с таким дурацким gxvxcbpcbfxmbphqywbrshyxiwulnkbymwvin.sys (или похожим) именем. Скопируйте его куда-нибудь на диск (Copy), потом убейте (Delete). Возможно gmer предложит удалить его при перезагрузке.Аналогично файл C:\WINDOWS\system32\gxvxcgxvdlymsiesixrmpygpurtetidqvpavb.dll
29.07.2009, 11:28
Маяк

хех, как ни странно, но файлов с подобными именами там просто нет. Просмотрел все вдоль и поперек, даже намека на такое имя нет, как и файлов с длинными именами.
29.07.2009, 11:32
Rene-gad

В последнем логе гмера они видны. Проверьте ещё ключи реестра в regedit.
29.07.2009, 11:36
Маяк

проверил - пусто.
29.07.2009, 11:42
thyrex

При выполнении лога gmer возможны сообщения об ошибках. Не стоит на них внимания обращать.
Делайте новый лог gmer
29.07.2009, 11:45
Маяк

[QUOTE='thyrex;439550']При выполнении лога gmer возможны сообщения об ошибках. Не стоит на них внимания обращать.[/QUOTE]
Это вы о чем?у меня никаких ошибок не было
29.07.2009, 12:10
thyrex

А это я писал, что ли?
[QUOTE='Маяк;439519']И вновь не найден. в последнем сообщении написано ''an error 0x00000002 occured during the deletion of file" и путь к драйверу, который надо удалить[/QUOTE]
Делайте новый лог gmer
29.07.2009, 12:31
Маяк

дак это было не во время создания лога, а когда скрипт применялся. щас повторю лог
29.07.2009, 13:32
Маяк

Вложений: 1

готово

и что же там в логах видно-то?
29.07.2009, 14:48
Rene-gad

[QUOTE=Маяк;439674]и что же там в логах видно-то?[/QUOTE]Хмм, то-то и оно, что ничего плохого. Растворился руткит, что-ли?
29.07.2009, 14:55
Маяк

не похоже, аутпост по-прежнему выдает его запросы

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

последний лог сделан с новой версии gmer, старый хоть что-то находил
29.07.2009, 14:58
Rene-gad

[QUOTE=Маяк;439682]не похоже, аутпост по-прежнему выдает его запросы
[/QUOTE]Если запросы идут извне - то хоть 100 раз, а если изнутри, то хужее...
29.07.2009, 15:04
Маяк

все идет через svchost, идет запрос входящего соединения с адреса gw.eridan

[size="1"][color="#666686"][B][I]Добавлено через 43 секунды[/I][/B][/color][/size]

я бы не обращал на это внимания, если б этот руткит мне инет не блокировал через раз
29.07.2009, 15:13
Rene-gad

[QUOTE=Маяк;439691]все идет через svchost, идет запрос входящего соединения с адреса gw.eridan[/QUOTE]Goblin Workshop Eridan - World of Warcraft играете?
29.07.2009, 15:16
Маяк

нет, вобще даже не увлекаюсь
29.07.2009, 15:22
Rene-gad

Я тоже не увлекаюсь. Ну и чего делать с Вами будем? Логи ничего враждебного не показывают. Очистку кэша браузеров делали?
29.07.2009, 15:24
Маяк

само собой, а толку-то..дак есть хоть какое-то объяснение тому, что у меня с системой творится?:)
29.07.2009, 15:45
Rene-gad

[QUOTE=Маяк;439716] есть хоть какое-то объяснение тому, что у меня с системой творится?:)[/QUOTE]Неисповедимы пути твои, Господь... © 8)
29.07.2009, 15:50
Маяк

значит нет, ну ясно тогда, спасибо хоть за старания;)
30.07.2009, 15:50
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]