Порт 12346 TCP - Вирус NetBus

[ks07]

Писать о подозрениях много, пожалуйста просмотрите логи. У меня ноут с Vista Home Basic(лицезия). Антивирь- NOD32 v.2.7. В интернете через роутер и локальную сеть.

[rubin]

Выполните

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Windows\system32\drivers\pxark.sys','');
 QuarantineFile('C:\Windows\System32\Drivers\spof.sys','');
 QuarantineFile('C:\Windows\System32\PRTmate.dll','');
 BC_ImportQuarantineList;
 BC_QrFile('C:\Windows\system32\drivers\pxark.sys');
 BC_QrFile('C:\Windows\System32\Drivers\spof.sys');     
 BC_Activate;
 RebootWindows(true);
end.

Затем пришлите этот карантин и карантин, полученный в ходе исследования

Пофиксьте

Код:

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

[ks07]

А восстановление системы, антивирь и брендмауэр Windows отключить ?

[rubin]

Да

[ks07]

профиксил в HiJackThis. После нажатия на профиксить появилось это окно

[wise-wistful]

Карантин загрузили ?

[ks07]

Карантин загрузил с паролем , а также исследование системы выслал

Добавлено через 3 минуты

Исследование запускал из меню "Файл". Или нужно было по нормальному запустить исследование, всмысле через ПУСК.

[V_Bond]

ошибка hijackthis связана с особенностями виста необходимо его запускать ... как запустить от имени ... администратора ...
так же стоит поступать ис авз иначе скрипт не возымеет действия ...

Добавлено через 1 минуту

а также исследование системы выслал

зачем ?

[ks07]

Хорошо, сделаю по новому, с правами администратора.

Добавлено через 6 минут

зачем ?

пост №2 "Затем пришлите этот карантин и карантин, полученный в ходе исследования". я понял, что нужно выслать 2 файла.

[V_Bond]

имелся в виду карантин ... все равно все будет в одном файле -архиве...

[ks07]

карантин загрузил, профиксил.

[V_Bond]

C:\Windows\system32\drivers\pxark.sys чистый
C:\Windows\System32\PRTmate.dll чистый
C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.ee New Malware.aj
C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis True Image Home v10.0 and Acronis Snap Deploy v2.0 (english).exe PUA.Packed.UPack-2
D:\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.exe PUA.Packed.UPack-2
D:\Архив программ\Acronis\Registr\Keygens\Acronis True Image Home v10.0 and Acronis Snap Deploy v2.0 (english).exe PUA.Packed.UPack-2
spof.sys - попробуйте поискать припомощи авз и пришлите по правилам ...

[ks07]

хорошо

Добавлено через 1 час 3 минуты

C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.ee New Malware.aj
C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis True Image Home v10.0 and Acronis Snap Deploy v2.0 (english).exe PUA.Packed.UPack-2

архив карантина загрузил (с файлами на диске D). На диске C не нашел, как написано в правилах.
раньше эти файлы я вырезал и переносил на диск D, но почему они дублируются на диске С - не могу понять

[V_Bond]

нужного файла spof.sys в присланном карантине нет ...

[ks07]

C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.ee New Malware.aj

Прошу обратить внимание, что у этого файла на дисках С и D разные расширения почему-то

[V_Bond]

Код:

C:\Windows\system32\drivers\pxark.sys чистый
C:\Windows\System32\PRTmate.dll чистый
C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.ee New Malware.aj
C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis True Image Home v10.0 and Acronis Snap Deploy v2.0 (english).exe PUA.Packed.UPack-2
D:\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.exe PUA.Packed.UPack-2
D:\Архив программ\Acronis\Registr\Keygens\Acronis True Image Home v10.0 and Acronis Snap Deploy v2.0 (english).exe PUA.Packed.UPack-2

эта было дано просто для информации .... кто есть кто так сказать ... что делать с Keygens вам решать ....

[ks07]

нужного файла spof.sys в присланном карантине нет ...

только, что искал при помощи АВЗ - его нет

[V_Bond]

сделайте новый комплект логов ....

[ks07]

сделал новый комплект логов

[ks07]

Пожалуйста подскажите,меня интересуют также следующие пункты из лога по скрипту №2:
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
>>> Обратите внимание: Порт 12346 TCP - Вирус NetBus () ????
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-268 ) ???
>> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100) ???
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100) ???
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! (Я ИСПОЛЬЗУЮ ПК КАК ДОМАШНИЙ!)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) ???
>> Безопасность: Разрешены терминальные подключения к данному ПК ???
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов ???