Помогите !!! Тормозит сетка !!! SVCHOST.EXE

[Ламер_Большой]

Внимание !! Хрень ... Нашел, а удалить не может ???

3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINNT\system32\mfaphook.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\mfaphook.dll>>> Нейросеть: файл с вероятностью 0.86% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINNT\system32\tzhook.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\tzhook.dll>>> Нейросеть: файл с вероятностью 0.56% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINNT\system32\cdmprov.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\cdmprov.dll>>> Нейросеть: файл с вероятностью 0.61% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINNT\system32\CTXRPC.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\CTXRPC.dll>>> Нейросеть: файл с вероятностью 0.78% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINNT\system32\msze32.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\msze32.dll>>> Нейросеть: файл с вероятностью 0.56% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
На данном ПК открыто 471 TCP портов и 142 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
>>> C:\WINNT\system32\iexplore.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
Проверка завершена
Просканировано файлов: 92954, извлечено из архивов: 78684, найдено вредоносных программ 0
Сканирование завершено в 21.03.2006 12:56:55
Сканирование длилось 00:58:43
Отложенное удаление файла C:\WINNT\system32\msze32.dll
Файл C:\WINNT\system32\msze32.dll не найден

[RiC]

Файла msze32.dll нигде нет !!!

Лога AVZ тоже не видно...

Похоже руткит, придется всех гнать с терминалов и воевать с консоли.
Качаете обновление к AVZ вот из этого сообщения http://virusinfo.info/showpost.php?p=67342&postcount=51 и распаковываете в каталог с AVZ.
запускаете avz.exe ag=y (через пуск -> выполнить, выбираете avz.exe в конце строки через пробел дописываете ag=y ) идёте в Сервис->Диспечер автозагрузки и снимаете галку напротив "d:\windows\system32\msze32.dll ... " если сработает "удалить", вообще удаляете эту запись.Закрываете AVZ оставляя включенным Guard
Перезагружаетесь.
Стираете D:\WINDOWS\System32\msze32.dll
Перед этим пришлите нам копию msze32.dll, как написано в правилах.
и C:\WINNT\system32\iexplore.exe пришлите тоже, скорее всего троян.

[Ламер_Большой]

2 RiC
Вот полный лог

[Ламер_Большой]

2 RiC

C:\WINNT\system32\iexplore.exe пришлите тоже, скорее всего троян.

Согласен что в нем тоже фигня, так как окна сами закрываются и "пляшут"

[Ламер_Большой]

2 RiC

Попробую сегодня вечером , чтоб не сгонять всех во время работы , выполнить Ваши инструкции. Завтра напишу результат

[RiC]

2 RiC
Вот полный лог

Это лог скана, я исследование системы из AVZ хотел-бы увидеть

2 RiC
Попробую сегодня вечером , чтоб не сгонять всех во время работы , выполнить Ваши инструкции. Завтра напишу результат

PS: Будте осторожны с ключём avz ag=y (это включение AVZ Guard), режим предназначается для борьбы с особо вредной гадостью.

[Ламер_Большой]

Удаляю , смотрю нет строчки в автозапуске !!! Перезагружаю ... опять есть !!!! Кстати ... минуты через 2 срабатывает уже блок на открытие программы AVZ... пишет отказанно в доступе , хотя в окне как процесс указан explorer.exe !! ужас !!

[Ламер_Большой]

Ошибка активации AVZ Guard !!!

Не грузится диспетчер задач на серваке WIN2000 !!!

[Ламер_Большой]

2 RiC

после того как запусил:

запускаете avz.exe ag=y

Проблема !!! Никто не может войти теперь из под Цитрикса !! срочно !

[Xen]

Разборки с руткитом лучше отложить на вечернее время, когда никого на сервере уже не будет.

[Ламер_Большой]

2 Xen

Ты прав !!! блин . как отключить теперь запускаете avz.exe ag=y

а то никто не может конектится цитриком ((

[Xen]

В ребут ;-)

[Ламер_Большой]

перезагрузка не спасает (((

[Ламер_Большой]

все ок. Цитрикс работает ... msze32.dll до сих пор не удалось удалить ! оставлю на вечерние время. завтра напишу результат

[Ламер_Большой]

Хочу спросить у маститых модеров, что такое этот руткит ? Его побочные действия ощутил на собственной шкуре

[Зайцев Олег]

Хочу спросить у маститых модеров, что такое этот руткит ? Его побочные действия ощутил на собственной шкуре

Руткит - это зловред, модифицирующий работу операционной системы для решения своих целей. Подробности - см. http://z-oleg.com/secur/rootkit.htm
Судя по имени DLL мы имеет дело с червяком Feebs (он узнает AVZ и убивает его, маскируется по руткит-технологии). Полный алгоритм лечения:
1. Перезагрузиться (естественно, в вечернее время, когда юзеров на сервере не будет)
2. Запустить AVZ с параметром ag=Y (avz.exe ag=y)
3. Пролечить систему с включенным антируткитом (это важно, в логе должна быть информация о нейтрализации кучи перехватов UserMode)
4. Стереть через отложенное удаление AVZ
D:\WINDOWS\System32\msze32.dll
C:\WINNT\system32\iexplore.exe (перед удаление сделать его копию и прислать нам)
5. Из AVZ выполнить поиск на системном диске файлов, созданных за последние 2 дня, размером от 40 до 70 кб, исключая опознанные как безопасные и системные. Что найдется - прислать нам на анализ
6. Не выходя из AVZ и не выключая AVZGuard перезагрузиться
все эти шаги естественно делать с консоли, а не через терминалку

[Ламер_Большой]

2 Олег ЗайТцев

Кстати, это из за этого - пока я не переименовал папку и файлс c AVZ на ZVA прога даже запускатся не хотела ?

[RiC]

2 Олег ЗайТцев
Кстати, это из за этого - пока я не переименовал папку и файлс c AVZ на ZVA прога даже запускатся не хотела ?

Да из-за этого, троян детектит в списке процессов avz.exe и убивает его. Кстати не только его список прикрываемых у этого трояна очень длинный.
Да собственно описание зверя есть в соседнем топике - http://virusinfo.info/showthread.php?t=4479

[Ламер_Большой]

Парни !!! Спасибо Вам всем за хелпы !!! Особенно RiC !!! Теперь я подкован и сегодня вечером задушу "зверя" !! А завтра скажу результат ...

но веть еще прога выдала подозрения помимо msze32.dll

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINNT\system32\mfaphook.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\mfaphook.dll>>> Нейросеть: файл с вероятностью 0.86% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINNT\system32\tzhook.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\tzhook.dll>>> Нейросеть: файл с вероятностью 0.56% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINNT\system32\cdmprov.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\cdmprov.dll>>> Нейросеть: файл с вероятностью 0.61% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINNT\system32\CTXRPC.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\CTXRPC.dll>>> Нейросеть: файл с вероятностью 0.78% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINNT\system32\msze32.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\msze32.dll>>> Нейросеть: файл с вероятностью 0.56% похож на типовой перехватчик событий клавиатуры/мыши

[MOCT]

другие заподозренные файлы тоже присылайте. в крайнем случае, эти файлы будут добавлены в базу чистых.