-
Junior Member
- Вес репутации
- 53
Планировщик заданий запускает исходящее соединение на http://...
W2K SP4
1. При запуске службы "планировщика заданий" запускается исходящее соединение на "erotic-baby-girl.com"
2. В логе планировщика "SchedLgU.txt" не может запустить обновление DrWeb:
"Служба планировщика заданий"
4.71.2195.6920"Dr.Web Update.job" (DrWebUpW.exe) 02.12.2009 12:37:00 ** ОШИБКА **
Попытка получения учетных данных для указанного задания окончилась неудачей, поэтому задание выполнено не было.
Либо произошла ошибка, либо для этого задания отсутствуют учетные данные.
Специфическая ошибка:
0x8004130f: Учетная запись для указанного задания не найдена в базе данных безопасности планировщика заданий.
3. При запуске службы "планировщика заданий" в Temp создаются
папки History, Cookies, Temporary Internet Files, с index.dat внутри
удаляются только после остановки службы.
Капаюсь уже два дня, чем только не сканил, результатов нет.
Файлы обновленны
Последний раз редактировалось Xrenn; 04.12.2009 в 13:15.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINNT\system32\sfcfiles.dll','');
DeleteFile('C:\WINNT\System32\Drivers\sfc.SYS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Отослал virus.zip
Новые файлы:
-
Выполните скрипт в AVZ
Код:
begin
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сообщите, решена ли проблема
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Спасибо! проблема ушла, немогли бы вы подсказать, где почитать о механизмах
заражения этим г-ном
Вообще механизм действия этого вируса не безобиден, на хосте куда он обращается ничего нет кроме надписи, а redirect на китайский хакерский сайт,
куда сливаются пароли с установленных FTP клиентов, на эти грабли я и наступил.
Еще раз спасибо за оперативную помощь!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\winnt\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.397, AVAST4: Win32:Patched-KP [Trj] )
-