-
Junior Member
- Вес репутации
- 59
Неизвесная бяка постоянно пытаеться установить VPN соеденение с интернетом
Здравствуйте.
Вообще на компьютере просто зоопарк всякой
экзотики(с точки зрение Симантека), фаервол только и спасает немного(Аутпост)
первое что было, это симантек детектировал руткит в файле ...32\drivers\beep.sys, после создания такого файла-пустышки с полностью заблокированным доступом, этот же рут кит, только уже без места дислокации постоянно перехватываеться(за пол часа гдето раз 100 перехватывал симантек). потом вручную спомощью ваших утилит что удалил и эта проблема ушла.
Почему пытался вначале сам, да потому что после файла-пустышки, примерная какаято служба пыталась запустить скрытый процес блабла.exe ( 6to4SVCE.exe)вроде- фаервол про это сообщал, я брал блокировать и в результате не могу зайти на сайт(любой), хотя VPNсоеденение с инетом устанавливаеться.
после повторной попытки самоврачевания, удалось добиться "ищезновения" скрытого процеса (про что фаервол сообщал ещё до входа в систему) и постояного перехвата руткита Симантеком.
Теперь вот "см. тему"... по 5 попыток соеденения через 30-50 сек (это при выключеном сетевом окружении), при включеном инете само собой окошко установки ВПН не появляеться, и почему то нет левой активности с интернетом. хотя по логам фаервола СВчост вечно лезит или на ВШСП сервер или кудато в инет, но его тормозят.
Дополнительно:
Счас фаервол блокирует полностью активность по сети systime.exe spools.exe - эти отличились соответственно - просили доступ к сети.
при сканированиях попадались MULdrop BackDoor.Bech URLTOOL Bho.exe
и процес который поклипал мозги но вроде вывел Downloader1.exe
вот прям счас выскочило сообщение про то что СВчост хочет запустить 6to4SVCE.exe) - боюсь отвечать, что б опять без нета не остаться
Последний раз редактировалось Kurk_SS; 22.06.2008 в 10:37.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 59
про последнее 6to4SVCE.exe - нажал запрет фаерволу, на сайтs захожу, так что блабла.exe был какойто друго.
-
Много наловили.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\Alex\cftmon.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Aldebaran.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\6to4svce.exe','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\6to4svce.exe');
DeleteFile('C:\Documents and Settings\Alex\cftmon.exe');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
StopService('Schedule');
DeleteService('Schedule');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
Загрузить все то, что попало в карантин, по ссылке вверху темы.
Сделать новые логи.
Последний раз редактировалось PavelA; 10.04.2008 в 15:05.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Хлопці, рятуйте!
вообщем после перезагрузки не запускаються экзешники, експлоер запустился, и запускал экзе файлы через Ран_Эз... (кстате АВЗ не запускалась от другого юзера, а ХайДжек, наоборот - запускалась только если выбрать не текущего а указать явно)
Относительно файла Reget\lang.dll - симантек вечно на него ругаеться, поэтому я ему сказал не трогать, а онлайн касперский сканер ничего не сказал(вроде)... да и прошлый раз когда к вам обращался - то про этот файл ничего не говорилось-----а мож и в правду вирус!?
Последний раз редактировалось Kurk_SS; 22.06.2008 в 10:37.
-
Перезагрузитесь в безопасный режим и выполните скрипт в AVZ:
Код:
begin
ExecuteRepair(1);
ExecuteRepair(6);
RebootWindows(true);
end.
Добавлено через 1 минуту
P.S. Outpost мешает нормальной работе AVZ, из-за него не полностью сработал первый скрипт и логи кривые получаются.
Последний раз редактировалось Bratez; 10.04.2008 в 15:53.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Вот сделал
Так потому и не мог отключить фаервол что в трей не загрузился, а экзешник чтото не нашол который бы запустился.... ну и помучался я шоб запустить АВЗ в безопасном режиме.... там сложнее оказалось - теперь экзешники запускаються вот логи
Последний раз редактировалось Kurk_SS; 22.06.2008 в 10:37.
-
Junior Member
- Вес репутации
- 59
да ещо - чтото интернет експлоер начал глючить, захожу вот в тему и вижу только два первых поста, остальные нет, чтоб остальные увидеть заходить надо по ссылке на последний пост.
Так как там, у Выличился у меня зоопарк или нет..... жду!
-
Хорошо. Еще вот такой файлик интересует:
C:\WINDOWS\system32\test12.exe
Поищите через AVZ, если найдется - пришлите по правилам.
I am not young enough to know everything...
-
-
По Вашему карантину ответа нет пока, если Вы его присылали.
В логах по-моему чисто.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
сори, тогда видимо уезжал кудато.... и забылась тема... так как всё работало... спасибо
-
Пожалуйста. Заходите к нам еще!
I am not young enough to know everything...
-