Здравствуйте. У меня появилась проблема. После загрузки svchost.exe ломится по портам 25, 80, 443 на кучу разных сайтов (всплывает в аутпосле). На удивление ни DrWeb ни Касперский ни Ad-Aware ничего не находят. В аттачменте необходимые логи. Заранее спасибо, потому что это первый раз когда я сам не могу найти заразу.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Спасибо, карантин прислал. Только мне кажется что он нормально не создался ? Может я и ошибаюсь... C:\WINDOWS\system32\w3svapi32.dll - эта dll еще осталась. Она действительно странная, упакована UPX и судя по содержимому внедряеться в процессы DLL Injection'ом
Последний раз редактировалось VBlack; 30.03.2008 в 01:04.
Вот это Ваше? :
d:\my\delphi\projects\pw_ups\
d:\my\delphi\projects\ssv\release\ssv.exe
Да это мое.
Могу еще остальные бегло описать.
1. FMDriver.sys - это драйвер прямого доступа к TV тюнеру для Axife FM Player
2. vxdbody.kmd - по-моему один из скриптов ProcDump'a
3. DUBE100B.sys - драйвер D-Link USB-LAN DUB E-100
4. hwmdr.sys - не знаю
5. GetBINFile.sys - не знаю
6. dspgapi.sys - часть отладчика для работы с JTAG
7. epcpuid.sys - не знаю
8. w3svapi32.dll - не знаю. подозрительная dll запакованная UPX
9. walker.exe - насколько помню часть отладчтка под WinCE
10. SPTD7725.SYS - Помниться драйвер прямого доступа к CD/DVD вроде от Alcohol.
Логи приложил. firewall.exe не находиться, вот что пишет AVZ
Ошибка карантина файла, попытка прямого чтения (firewall.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\firewall.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\firewall.exe)
Карантин с использованием прямого чтения - ошибка
Скажите какой антивирус находит этот вирус ? Не стоит ли сменить DrWeb на что-нибудь другое ?
АВЗ самостоятельно удалила GetBINFile.sys >>>>> Trojan-Spy.Win32.Banker.dvp и ещё кое-кого из System Volume Information. Я бы на Вашем месте отключил восстановление системы, что бы прибить законсервированных врагов.
Добавлено через 3 минуты
Как поживает система?
Последний раз редактировалось wise-wistful; 01.04.2008 в 02:42.
Причина: Добавлено
Восстановление выключил, врагов прибил. GetBINFile.sys - многие антивири на него ругаются, но он идет на диске с фирменными дровами от материнки хотя конечно все может быть. Снес эту утилиту нафиг.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: