-
Junior Member
- Вес репутации
- 50
lsass.exe и svchost при отключении файрвола Eset Smart Security начинают открывать много исходящих соединений
Здравствуйте. Проблема - процессы lsass.exe и svchost при отключении файрвола Eset Smart Security начинают открывать много исходящих соединений на один из русских серверов. При запрете этого начинают грузить процессор. Проверка с DrWeb LiveCD ничего не выявила. Также начинают появляться файлы tmp.tmp в разных местах. При отключении сетевого кабеля система ушла в ребут. Windows XP SP3. Забивает весь канал - работа встала.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\magwuljq.dll','');
QuarantineFile('C:\WINDOWS\system32\mgryahip.dll','');
QuarantineFile('C:\WINDOWS\system32\mmydaspw.dll','');
DeleteFile('C:\WINDOWS\system32\mmydaspw.dll');
DeleteFile('C:\WINDOWS\system32\mgryahip.dll');
DeleteFile('C:\WINDOWS\system32\magwuljq.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(1);
ExecuteRepair(20);
RegKeyStrParamWrite('HKLM', 'system\currentcontrolset\control\securityproviders', 'SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 50
вроде помогло
Спасибо. Вроде перестало соединяться. Повтор логов прилагаю. Интересно бы узнать, что это было.
-
Плохого не увидел. Есть на что-нибдь жалобы?
-
-
Junior Member
- Вес репутации
- 50
Проверил еще раз CureIt - чисто. Левых подключений нету (в есетовском мониторе). Карантин отправил раньше. Вопрос - что это было и есть ли к этому свежие заплатки от Микрософта?
-
У Вас были абсолютно те же звери, что и у человека здесь - http://virusinfo.info/showpost.php?p=706504&postcount=8, просто немного отличаются имена. Это новые звери.
Добавлено через 1 минуту
Насчёт заплаток - рекомендуется обновить Internet Explorer v6.00(даже если Вы им не пользуетесь), + обновить всё от Adobe, а то так и будете ловить зверей.
Последний раз редактировалось olejah; 15.09.2010 в 14:36.
Причина: Добавлено
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\magwuljq.dll - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.KDV.37581, AVAST4: Win32:MalOb-IJ [Cryp] )
- c:\\windows\\system32\\mgryahip.dll - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.KDV.37581, AVAST4: Win32:MalOb-IJ [Cryp] )
- c:\\windows\\system32\\mmydaspw.dll - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.KDV.37581, AVAST4: Win32:MalOb-IJ [Cryp] )
-