Сетевая активность 445, 135 порт

[locust]

Помогите пожалуйста решить проблему. Один из компьютеров в локальной сети по всей видимости заражен - проявляется это в попытках обращения с него ко всем IP адресам сети интернет провайдера на 445 и 135 порты. Касперский ничего не находит.

P.S. Забыл уточнить - с компьютера так же периодически происходит обращение к IP 72.20.22.179. После добавления запрещающего правила на этот IP в фаерволе шлюза попытки обращения к портам 445 и 135 после перезагрузки зараженного компьютера прекратились.

[Muzzle]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\mcrtdep.dll','');
 QuarantineFile('C:\WINDOWS\system32\ucimdmat.dll','');
 QuarantineFile('C:\WINDOWS\system32\guard.tmp','');
 QuarantineFile('C:\WINDOWS\system32\acrsvc.dll','');
 QuarantineFile('C:\WINDOWS\system32\wgnetmgr.dll','');
 QuarantineFile('C:\WINDOWS\system32\svrvdeps.dll','');
 QuarantineFile('C:\WINDOWS\system32\src.dll','');
 QuarantineFile('C:\WINDOWS\system32\surwvdrv.dll','');
 QuarantineFile('C:\WINDOWS\system32\cCtsrvps.dll','');
 QuarantineFile('C:\WINDOWS\system32\llbmp13n.dll','');
 QuarantineFile('C:\WINDOWS\system32\wxnhttp.dll','');
 QuarantineFile('C:\WINDOWS\system32\FO20.DLL','');
 QuarantineFile('C:\WINDOWS\system32\sirrnru.dll','');
 QuarantineFile('C:\WINDOWS\system32\ssclient.dll','');
 QuarantineFile('C:\WINDOWS\system32\JBAA500.DLL','');
 QuarantineFile('afess.exe','');
 QuarantineFile('C:\WINDOWS\System32\SCardClnt.exe','');
 QuarantineFile('C:\WINDOWS\inetdata\services.exe','');
 QuarantineFile('c:\windows\system32\mxrs.exe','');
 DeleteFile('c:\windows\system32\mxrs.exe');
 DeleteFile('C:\WINDOWS\System32\SCardClnt.exe');
 DeleteFile('afess.exe');
 DeleteFile('C:\WINDOWS\system32\ssmc.exe');
 DeleteFile('C:\WINDOWS\inetdata\services.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11077

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

 
O23 - Service: Remote Reader Machine - Unknown owner - C:\WINDOWS\system32\ssmc.exe (file missing)
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\
O16 - DPF: {2F003D51-39FD-4D18-9016-95CF70B92ABE} - http://download.movienetworks.com/install/US/altpmtscab.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBIniti alSetup1.0.0.15.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://connect.online-dialer.com/cax.cab
O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} (Video Class) - http://streamp.babenet.com/cabs/videox.cab
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O13 - WWW Prefix:
O13 - DefaultPrefix:
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

[locust]

Спасибо. Сделал все что написано. Что нужно делать дальше?

[Muzzle]

Хотел бы порекомендовать обновить систему до SP2(у вас SP1) + все последующие критические обновления,иначе вы можете стать частым гостем раздела "помогите",так же обновите Internet Explorer(уже 7 версия),либо пользуйтесь альтернативными браузерами например FireFox,Opera.

Флуд на порты пропал?
В карантин попал 1 файл mxrs.exe- Backdoor.Win32.SdBot.avj, зловред(судя по логам именно он обращался к портам 135,445),его мы удалили.
У вас скорей всего ещё присутствует Adware.Win32.Look2me.ab
http://www.z-oleg.com/secur/virlist/vir1095.php
Повторите логи.
и будем его вычищать

[locust]

Флуд прекратился. Спасибо за оперативную и квалифицированную помощь.

В приложении логи повторного сканирования системы.

Хочу еще спросить - не можете подсказать почему Каперский не находил этого вируса? Возможно надо включить какие-то опции сканера и монитора?

[PavelA]

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз под именем
Backdoor.Win32.SdBot.avj.

Да просят меня модераторы.

[Muzzle]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\x.cab','');
 DeleteFile('C:\WINDOWS\system32\JBAA500.DLL');
 DeleteFile('C:\WINDOWS\system32\ssclient.dll');
 DeleteFile('C:\WINDOWS\system32\sirrnru.dll');
 DeleteFile('C:\WINDOWS\system32\wxnhttp.dll');
 DeleteFile('C:\WINDOWS\system32\FO20.DLL');
 DeleteFile('C:\WINDOWS\system32\llbmp13n.dll');
 DeleteFile('C:\WINDOWS\system32\cCtsrvps.dll');
 DeleteFile('C:\WINDOWS\system32\surwvdrv.dll');
 DeleteFile('C:\WINDOWS\system32\src.dll');
 DeleteFile('C:\WINDOWS\system32\svrvdeps.dll');
 DeleteFile('C:\WINDOWS\system32\wgnetmgr.dll');
 DeleteFile('C:\WINDOWS\system32\acrsvc.dll');
 DeleteFile('C:\WINDOWS\system32\guard.tmp');
 DeleteFile('C:\WINDOWS\system32\ucimdmat.dll');
 DeleteFile('C:\WINDOWS\system32\mcrtdep.dll');
 DeleteFile('c:\x.cab');
 BC_DeleteFile('C:\WINDOWS\system32\JBAA500.DLL');
 BC_DeleteFile('C:\WINDOWS\system32\ssclient.dll');
 BC_DeleteFile('C:\WINDOWS\system32\sirrnru.dll');
 BC_DeleteFile('C:\WINDOWS\system32\FO20.DLL');
 BC_DeleteFile('C:\WINDOWS\system32\wxnhttp.dll');
 BC_DeleteFile('C:\WINDOWS\system32\llbmp13n.dll');
 BC_DeleteFile('C:\WINDOWS\system32\cCtsrvps.dll');
 BC_DeleteFile('C:\WINDOWS\system32\surwvdrv.dll');
 BC_DeleteFile('C:\WINDOWS\system32\src.dll');
 BC_DeleteFile('C:\WINDOWS\system32\svrvdeps.dll');
 BC_DeleteFile('C:\WINDOWS\system32\wgnetmgr.dll');
 BC_DeleteFile('C:\WINDOWS\system32\acrsvc.dll');
 BC_DeleteFile('C:\WINDOWS\system32\guard.tmp');
 BC_DeleteFile('C:\WINDOWS\system32\ucimdmat.dll');
 BC_DeleteFile('C:\WINDOWS\system32\mcrtdep.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11077

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O23 - Service: MXRS(mxrs) (MXRS) - Unknown owner - C:\WINDOWS\system32\mxrs.exe (file missing)
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - (no file)

и для контроля повторите логи.

[locust]

Спасибо за помощь. Выполнил приведенный выше скрипт. Судя по его логике в карантин должен был поместится файл 'c:\x.cab', однако я его там не вижу. Папка карантина пуста.
Так же не удается почему-то пофиксить в HijackThis приведенные строки. После нажимания кнопки "fix checked" и повтороном сканировании и перезагрузки эти строки остаются.

[Макcим]

Сделайте повторные логи.

[pig]

Так же не удается почему-то пофиксить в HijackThis приведенные строки.

O23 фиксятся особым образом. См. продолжение темы про фиксы.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 40
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\mxrs.exe - Backdoor.Win32.SdBot.avj (DrWEB: BackDoor.IRC.Sdbot)