Постоянно идёт обращение на определённый URL

**CyberDyne** · 23.06.2009, 17:36

На фаерволе и в программе TCPView заметил, что с моего компьютера постоянно идёт обращение на след.адреса:

http://ipredator.ru/1/cfg.bin
http://ipredator.ru/1/s00.php?
213.182.197.229

Обращение происходит регулярно примерно раз в 10-15 секунд.
В TCPView заметил также, что обращение идёт с svchost.exe и появляется на короткий промежуток времени.

Проверка антивирусами не помогла (Nod, CureIT, AVZ).
Поэтому прошу помощи здесь. Логи согласно правилам прикрепляю.

PS Фаервол установлен на шлюзе на отдельном компьютере. Мне, как временная мера, удалось закрыть доступ на эти адреса через фаервол.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 23.06.2009, 18:09

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('msansspc.dll','');
 QuarantineFile('c:\windows\system32\oembios.exe','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\system32\mmmqoesn.dll','');
 DeleteService('msupdate');
 QuarantineFile('c:\windows\system32\mssrv32.exe','');
 DeleteFile('c:\windows\system32\mssrv32.exe');
 DeleteFile('C:\WINDOWS\system32\mmmqoesn.dll');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('c:\windows\system32\oembios.exe');
 DeleteFile('msansspc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=48568

После лечения в обязательном порядке надо поставить Сервис Пак 3

**CyberDyne** · 23.06.2009, 18:41

Спасибо.
Извините, но смогу сделать только завтра, т.к. это на рабочем компьютере. Это не против правил?

**gjf** · 23.06.2009, 18:46

Это не против правил, кто ж Вас на работу выгонит?

Когда сделаете, тогда и продолжим.

**CyberDyne** · 24.06.2009, 10:18

PavelA
Сделано - скрипт выполнен. Карантин высылаю согласно правилам.

Файл 090624_101521_virus_4a41c47931f3c.zip

ПС Вроде как обращения прекратились. Но у меня имеется несколько вопросов:
1) Я впринципе эти файлы давно заметил и тоже западозрил, но ни один антивирус не классифицировал их как вирус - максиум было "подозрительные". Поэтому я их и не стал переименовывать или удалять.
2) А можно поподробнее, почему нужно в обязательном порядке SP3 устанавливать?

СТОП
Логи забыл - сейчас пришлю.

**CyberDyne** · 24.06.2009, 10:41

Вот логи - вроде всё теперь.

**PavelA** · 24.06.2009, 10:55

Карантин пуст.
По поводу СП3: посмотрите сколько "дырок" он закрывает и сразу станет понятно зачем он нужен.

В логах чисто.

**CyberDyne** · 24.06.2009, 11:16

PavelA
С карантином что-то неправильно сделал?

Спасибо за помощь и совет! Вроде как всё нормально сейчас!

**CyberHelper** · 25.06.2009, 11:16

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 10
В ходе лечения вредоносные программы в карантинах не обнаружены

Постоянно идёт обращение на определённый URL (заявка № 48568)

Опции темы

Постоянно идёт обращение на определённый URL

Итог лечения

Похожие темы

Нод постоянно блокирует несанкционированное обращение на веб узел

Перехватчик не определён

постоянно выскакивает удалённый вирус Rootkit.Win32.Bubnix.k (заявка №16014)

Как закрыть определённый порт?

Перехватчик не определён

Ваши права в разделе