Smitfrand-c, Zlob.homepagemonitor и Vcodec.intcodec в одном флаконе
И дня непрошло как избавился от рассылки руткитом, как новая напасть. СпайБот детектирует Smitfrand-c, Zlob.homepagemonitor и Vcodec.intcodec, успешно лечит. После перезагрузки компа проверяешь спайботом - сначала всё оК, но через пару минут вирус обнаруживает себя. Появляются якобы системные окошки (System Protection Center, Installing Updates) об обнаружении spywere и предложением даунлодить их ПО. Проявление вируса можно купировать удалив прцесс svcost.exe, инициированный от имени пользователя, забирающий до 90% ресурса процессора. Всего видно 6-8 процессов с таким именем, запущенных пользователем, SYSTEM, LOCAL SERVICE, NETWORK SERVICE. Куре от ДрВеб, АВЗ ни чего не находят, даже если ткнуть в экзешник с гадостью. В АВЗ ток срабатывает эвристика на название vxgame*.exe. Логи аттачу.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отправил.
-Ещё добавил VXH8JKD*.exe - они создаются вместе с vxgame*.exe и на них ругается СпайБот: Smitfrand-c
-C:\WINDOWS\system32\cpadvai.dll был удален кем-то ещё во время борьбы с руткитом, на его отсутствие при загрузке один раз ругался msmsgs.exe
-ipv6mons.dll удалён давно, Куре распознал в нём Troyan.PWS.Tanspy
-C:\Program Files\expektMPP\MPPoker.exe в калоге нет
-C:\Program Files\Windows XT\Party\PartyPoker.exe уже успел снести вместе с кталогом
Извиняюсь, C:\Program Files\expektMPP\MPPoker.exe, этот есть, отправил
-C:\Program Files\Sable\WINNT\startnt.bat - вроде кряк, давно стоящий
-C:\WINDOWS\system32\3339_32.dll вроде тоже удалял в период борьбы с руткитом http://www.virusinfo.info/showthread.php?t=6476, там куча завирусованных файлов была создана с 17-20 до 17-30 11.10.06, я все созданные в это время и удалил
C:\WINDOWS\system32\drivers\etc
Вот об этом файле речь.
В норме там должны быть строки начинающеся с #. Это просто текстовый комментарий. И всего одна строка по делу:
127.0.0.1 localhost
Всякие другие строки или сам юзер пишет по своему желанию, или "зверьки" прописывают.
Если есть строки, прописанные "зверьками", то стереть их.
Файл смотреть и править можно любым текстовым редактором. Блокнот вполне подойдёт.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: