Модифицированы префиксы протоколов

**Earring21** · 26.02.2008, 16:56

Добрый день.

Недавно поймали вирус, но сейчас вроде как ничего не находит.
Интернет(сайты открываются) работает, внутренняя сеть тоже.
Но одна проблема осталась(её до вируса небыло). Есть программа она гоняет видео по 3000 порту с удаленной точки(стат IP) не может достучаться до видео-сервера.Даже если точнее сказать даже не программа, простой telnet по 3000 порту так же не доходит до удаленной точки(с остальных машин в сети подобной проблемы нет).
АВЗ вроде ничего подозрительного не нашел, кроме этой вот строчки
"Модифицированы префиксы протоколов".
Что может быть ?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**rubin** · 26.02.2008, 16:59

Не хватает лога hijackthis и virusinfo_syscheck

virusinfo_cure - это карантин (у Вас правда пустой), отсылать нужно сюда - http://virusinfo.info/upload_virus.php?tid=18699

**Bratez** · 26.02.2008, 17:02

По сообщению KIS, ваш лог syscure содержит вредоносный объект
Exploit.HTML.Mht (модификация).

**Зайцев Олег** · 26.02.2008, 17:06

Эксплоита там нет ... эксплоит заразил компьютер и привел к проблеме, в логе есть прямая ссылка на эксплоит, на него и ругается KIS.
Знаит так:
1. Выполнить скрипт:

Код:

begin
 QuarantineFile('C:\TEMP\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\csrss.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\System32\winnet.dll','');
 QuarantineFile('C:\WINDOWS\System32\bvsjds7ehd.dll','');
 QuarantineFile('C:\WINDOWS\System32\winload.dll','');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111111123}');
 DeleteFile('C:\WINDOWS\System32\bvsjds7ehd.dll');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\csrss.exe');
 DeleteFile('C:\TEMP\winlogon.exe');
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteSysClean; 
end.

2. Нужно сделать логи по правилам (2 лога AVZ + HijackThis)

**DVi** · 26.02.2008, 17:28

Сообщение от Bratez

По сообщению KIS, ваш лог syscure содержит вредоносный объект
Exploit.HTML.Mht (модификация).

Так оно и есть: при указании в html-файле ссылки на зараженный ресурс веб-антивирус КИСа может диагностировать подозрение на вирус.

**Rene-gad** · 26.02.2008, 19:44

Сообщение от DVi

при указании в html-файле ссылки на зараженный ресурс веб-антивирус КИСа может диагностировать подозрение на вирус.

KAV тоже реагирует на эксплойт

**rubin** · 26.02.2008, 20:59

Правильно - веб-антивирус есть и на КАВе, и на КИСе

**Earring21** · 27.02.2008, 10:39

Выполнил сказанное+скрипт.

**drongo** · 27.02.2008, 10:48

Ну вот , нужный файл нечаянно удалился. Будьте внимательны когда прикрепляете файлы!

**Earring21** · 27.02.2008, 12:27

Пока без изменений.
telnet-ом не могу достучаться до адреса(в программе соотвественно тоже).

**rubin** · 27.02.2008, 14:26

Карантина Вашего не вижу

http://virusinfo.info/upload_virus.php?tid=18699

**Earring21** · 27.02.2008, 14:45

Карантин сбросил.

**rubin** · 27.02.2008, 14:54

Не тот... virusinfo_cure - это, что получилось в ходе создания логов
Нужен virus.zip - читайте приложение 3 Правил

**Earring21** · 27.02.2008, 16:56

Карантин был пустой. На всякий сделал автокарантин. Его прислал.

**rubin** · 27.02.2008, 17:10

Выполните:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DelBHO('BE756CFF-ADB4-4bc5-A35F-19E546E5710E');
 DelBHO('8D5849A2-93F3-429D-FF34-260A2068897C');
 QuarantineFile('C:\WINDOWS\System32\bvsjds7ehd.dll','');
 DelBHO('74EFCE6B-FE84-443D-94F6-101AE84DF961');
 QuarantineFile('C:\DOCUME~1\Andrey\APPLIC~1\~tmpdll.dll','');
 DelBHO('2BDEC973-B5AC-4e5b-8AB3-5A0500880DA2');
 QuarantineFile('C:\WINDOWS\System32\winnet.dll','');
 QuarantineFile('C:\WINDOWS\System32\winload.dll','');
 QuarantineFile('C:\WINDOWS\System32\poof','');
 QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
 QuarantineFile('C:\WINDOWS\System32\kprof','');
 DeleteFile('C:\WINDOWS\System32\kprof');
 DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
 DeleteFile('C:\WINDOWS\System32\poof');
 DeleteFile('C:\WINDOWS\System32\winload.dll');
 DeleteFile('C:\DOCUME~1\Andrey\APPLIC~1\~tmpdll.dll');
 DeleteFile('C:\WINDOWS\System32\bvsjds7ehd.dll');
 DeleteFile('C:\WINDOWS\System32\winnet.dll');
 BC_ImportAll;
 BC_DeleteSvc('protect');
 BC_DeleteSvc('poof');
 BC_DeleteSvc('kprof');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Пришлите новый карантин и сделайте новые логи

**Earring21** · 28.02.2008, 13:15

Выполнил скрипт.
Выложил новые логи. Отослал карантин.
Пока все без изменений.
Какие ещё будут мысли ?

**rubin** · 28.02.2008, 19:06

Пофиксьте:

Код:

O20 - Winlogon Notify: origami - C:\WINDOWS\
O20 - Winlogon Notify: rpcc - C:\WINDOWS\

C:\WINDOWS\SYSTEM32\DRIVERS\vpckom.SYS
Пришлите по правилам

**Earring21** · 29.02.2008, 15:48

Сказанное пофиксил(лог после фикса и перезагрузки выложил).
Запрошенный файл отправил.

**rubin** · 01.03.2008, 11:31

C:\WINDOWS\system32\drivers\vpckom.sys - чист

Какие жалобы остались?

**Earring21** · 03.03.2008, 15:25

Все тоже самое...
Телнетом не могу повеситься на нужный IP нужный порт(Соответственно и программой использующей тот же IP и порт тоже).
В остальном все оК.

Модифицированы префиксы протоколов (заявка № 18699)

Опции темы

Модифицированы префиксы протоколов

Похожие темы

Изменение префикса протоколов в IE

Ваши права в разделе