На компе постоянно установлен Avast HomeE. Проблемы проявились 11.10.06., хотя возможно были и до этого, но не столь активно проявлялись (возможно велась рассылка с компа). 11.10.06 около 17-20 закончил партию в и-нет нарды, комп оставил включенным с несколькими работающими приложениями. Вернувшись в 21-25 обнаружил комп перезагруженным, т.е. до моменда ввода пароля (WinXP). После подключения к сети сканер почты Аваст детектирует постоянно идущий поток почты, даже при отутствии запущенных приложений, сетевой трафик идёт. Отбил штук 20 вирусов из сети. Сканирование Авастом вирусов на компе не обнаружило. Повторное сканирование DrWeb-CureIT выявило штук 20 разных вирусов, в основно трояны. Большинство зараженных файлов создано между 17-20 и 17-30 11.10.06. Так же удалил несколько файлов созданных в это же время, по виду вирусы типа z4120.exe и т.п., но антивир вируса в них не распознал. Плюс прошелся Спайботом. Сканер почты Аваст всё равно обнаруживает почти постоянно идущий поток, если подключиться к и-нету. Из ДОС окошка при выкляченных приложениях командой netstat (statnet?) идентифицировал процесс с ID 552 коннектится с 81.177.26.21:http. В реестре Windows процесс с таким ID не отображается. После этого сделал всё как описано в правилах перед созданием запроса о помощи. Прикрепляю логи.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
На компе постоянно установлен Avast HomeE. Проблемы проявились 11.10.06., хотя возможно были и до этого, но не столь активно проявлялись (возможно велась рассылка с компа). 11.10.06 около 17-20 закончил партию в и-нет нарды, комп оставил включенным с несколькими работающими приложениями. Вернувшись в 21-25 обнаружил комп перезагруженным, т.е. до моменда ввода пароля (WinXP). После подключения к сети сканер почты Аваст детектирует постоянно идущий поток почты, даже при отутствии запущенных приложений, сетевой трафик идёт. Отбил штук 20 вирусов из сети. Сканирование Авастом вирусов на компе не обнаружило. Повторное сканирование DrWeb-CureIT выявило штук 20 разных вирусов, в основно трояны. Большинство зараженных файлов создано между 17-20 и 17-30 11.10.06. Так же удалил несколько файлов созданных в это же время, по виду вирусы типа z4120.exe и т.п., но антивир вируса в них не распознал. Плюс прошелся Спайботом. Сканер почты Аваст всё равно обнаруживает почти постоянно идущий поток, если подключиться к и-нету. Из ДОС окошка при выкляченных приложениях командой netstat (statnet?) идентифицировал процесс с ID 552 коннектится с 81.177.26.21:http. В реестре Windows процесс с таким ID не отображается. После этого сделал всё как описано в правилах перед созданием запроса о помощи. Прикрепляю логи.
Да, руткит имеет место, суда по логам ... пришлите для анализа файлы:
c:\windows\system32\taskdir.exe
C:\WINDOWS\system32\cpadvai.dll
C:\WINDOWS\System32\ventmon.dll
C:\WINDOWS\system32\adir.dll
C:\WINDOWS\system32\hpOIDR07.dll
C:\WINDOWS\system32\3339_32.dll
C:\WINDOWS\system32\ixafx.dll
C:\WINDOWS\system32\taskdir.exe
C:\WINDOWS\Downloaded Program Files\fileIo.dll
C:\WINDOWS\DOWNLO~1\wwlaunch.ocx
C:\WINDOWS\system32\ISBMain.dll
Собственно спамбот -
c:\windows\system32\taskdir.exe
Рядом должны были быть:
c:\windows\system32\taskdir.dll
c:\windows\system32\taskdir~.exe
но эти, похоже, уже убиты.
Файлы не прикрепляйте сюда, а высылайте, как расписано в конце Правил.
Спамбот Вы не увидите. Убейте его Avenger-ом
Скрипт для удаления:
Код:
Files to delete:
C:\WINDOWS\system32\taskdir*.*
C:\WINDOWS\system32\adir.dll
После перезагрузки эти файлы будут в директории C:\Avenger\backup, их и пришлете.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: