Проблема появилась околомесяца назад. Время от времени комп начинает вести себя странно. Обычно это проявляется в такой цепочке событий:
1) Вылетает с ошибкой приложение setpoint.exe (это прога, имеющая отношение к ПО Logitech SetPoint для оптимальной работы беспроводного набора мышь-клава), иногда вслед за ним вылетают с ошибкой еще некоторые программы, например, Total Commander, Apex DC++ (P2P клиент для сетей DC++)
2) Вслед за этим, или одновременно, или даже на несколько секунд ранее Аутпост (режим обучения) засекает необычную сетевую активность - несколько из работающих программ - причем всегда один и тот же набор, включающий какие-то 2 неровских екзешника nmindexstoresvr.exe и nmbgmonitor.exe, исполняемый файл проги Хамелеон Клок chamclock.exe, &RQ.exe (ICQ-совместимый клиент) (возможно, список неполный) начинают ломиться по протоколу TCP на порт 80 на веб-адреса с экзотическими именами -
iw389t3q.com
fcvmy6au.com
k6tv.com
а также на www.irfanview.com, 209.133.10.2,
причем ломятся по очереди на один адрес, потом по очереди на другой и так далее. Неужели может быть такое, что какое-то другое приложение лезет в инет "чужими руками"
Прилагаю логи.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Bratez,
Ваш скрипт вылетел с ошибкой, комп не перезагрузился, но файл в карантин добавился
строчки пофиксил, они были.
Alex_Goodwin,
Ваш скрипт выполнился без ошибок, комп перезагрузился, но файл a0tj1h68.SYS в карантин не добавился, и, кстати, я его на компе не нашел (утилитой поиска Windows). Карантит с индео выслал. Логи сделать сразу, или я сделал что-то не так и мне повторить какой-то скрипт?
Больше ничего подозрительного не видно.
Проблема уже не проявляется?
Посмотрите, что из этого не нужно - отключим:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проблема появлялась не каждый день. Так что пройдет пару деньков - станет понятно, напишу об этом обязательно.
В рунете гугл нашел только одно более-менее пристойное описание этого виря, и там сказано, что он может пересылать конфиденциальную инфу вроде паролей куда-то в инет. Но там не написано, как он это делает - отлавливая пароли из кукисов и реестра, или отлавливая их, как кейлоггер. Не можете подсказать? А то мне нужно решить, насколько в опасности мои бабки на ВебМани и на моих аккаунтах в нескольких покер-румах, нужно ли срочно менять пароли доступа, пароли на почтовые ящики и т.д. Разочаровало также, что NOD32 у меня эту заразу даже как подозрительную не признал.
Мля, это столько дыр у меня в компе? Одни только названия этих служб выглядят опасно . Подозреваю, что ни одна из них мне не нужна, правда, я не знаю, что такое потенциально опасная служба SSDPSRV (Служба обнаружения SSDP).
Это служба обнаружения UPnP-устройств в домашней сети. Раз Вы даже не знаете, что это - думаю она Вам не нужна
Этот скрипт отключит все указанные выше службы:
За скрипт спасибо, а вручную нельзя эти службы поотрубать или каким-нибудь XPTweaker? А то я хотел бы и на другой системе отрубить эту муть тоже, а в написании скриптов я не силен.
И, кстати, где все же инфу о злодеяниях этого виря найти?
Trojan-Spy.Win32.Agent.rb - программа-шпион, предназначенная для кражи конфиденциальной информации. Сохраняет в создаваемый лог-файл логины и пароли вводимые пользователем и отправляет эту информацию злоумышленнику.
Данный троян – представитель семейства, к которому также относятся Trojan-Spy.Win32.Agent.o и Trojan-Spy.Win32.Agent.fa. Которые используют схожую технологию заражения.
Те зловреды, которые относятся к его семейству, "отслеживают открытые окна Internet Explorer и сохраняют информацию с открываемых сайтов, а также клавиатурный ввод пользователя" (кейлоггер).
Похоже, что проблема больше не повторяется, спасибо!
Только, как я понял, мой NOD32 так и не распознает эту заразу, как же избежать ее попадания вновь? Мож какой-то антишпион есть вроде AdAware, чтоб в памяти висел, как антивирь? Просто я не пойму, троянов антивири хуже что ли ловят, чем специальные антивирусные проги?
нет не лучше , а намного хуже ...
а то что ваш антивирус не распознает .... идеальной защиты не существует ....
Прошу прощения, я не так выразился, и теперь сам не пойму, что Вы имели в виду
Я хотел спросить:
я не пойму, троянов специальные антитроянские проги вроде Troyan remover лучше что ли ловят, чем антивирусы?
Не подскажете, в моих старых логах ничего не упоминалось о загадочном файле aumjbkga.sys ? Возможно, его удалил DrWeb CureIt или AVZ, ибо у меня на компе такого файла нет. Но когда я пробовал переустановить Windows обновлением, выходит ошибка - дескать, не удается скопировать файл aumjbkga.sys с CD. Поиск в гугле по названию этого файла дает 0 результатов, поэтому не верится, что это какой-нибуть системный файл, но в реестре есть несколько упоминаний о сервисе aumjbkga .
PS переставлять винду хотел из-за появления некоторых глюков после внезапного отключения электроэнергии, это произошло как назло буквально через день после лечения. Комп вообще не загружался, видимо, полетела файловая система, ибо удалось восстановить через консоль восстановления командой
chkdsk c: /R
но полетели некоторые элементы оформления в голубой цветовой теме. Теперь я не знаю, что это за глючное требование этого файла - то ли следы в реестре от бывших вирусов, то ли следы повреждения реестра при отключении электричества
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: