Здравствуйте. Проблема - процессы lsass.exe и svchost при отключении файрвола Eset Smart Security начинают открывать много исходящих соединений на один из русских серверов. При запрете этого начинают грузить процессор. Проверка с DrWeb LiveCD ничего не выявила. Также начинают появляться файлы tmp.tmp в разных местах. При отключении сетевого кабеля система ушла в ребут. Windows XP SP3. Забивает весь канал - работа встала.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\magwuljq.dll',''); QuarantineFile('C:\WINDOWS\system32\mgryahip.dll',''); QuarantineFile('C:\WINDOWS\system32\mmydaspw.dll',''); DeleteFile('C:\WINDOWS\system32\mmydaspw.dll'); DeleteFile('C:\WINDOWS\system32\mgryahip.dll'); DeleteFile('C:\WINDOWS\system32\magwuljq.dll'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteRepair(1); ExecuteRepair(20); RegKeyStrParamWrite('HKLM', 'system\currentcontrolset\control\securityproviders', 'SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll'); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи
Спасибо. Вроде перестало соединяться. Повтор логов прилагаю. Интересно бы узнать, что это было.
Плохого не увидел. Есть на что-нибдь жалобы?
Проверил еще раз CureIt - чисто. Левых подключений нету (в есетовском мониторе). Карантин отправил раньше. Вопрос - что это было и есть ли к этому свежие заплатки от Микрософта?
У Вас были абсолютно те же звери, что и у человека здесь - http://virusinfo.info/showpost.php?p=706504&postcount=8, просто немного отличаются имена. Это новые звери.
Добавлено через 1 минуту
Насчёт заплаток - рекомендуется обновить Internet Explorer v6.00(даже если Вы им не пользуетесь), + обновить всё от Adobe, а то так и будете ловить зверей.
Последний раз редактировалось olejah; 15.09.2010 в 14:36. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\magwuljq.dll - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.KDV.37581, AVAST4: Win32:MalOb-IJ [Cryp] )
- c:\\windows\\system32\\mgryahip.dll - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.KDV.37581, AVAST4: Win32:MalOb-IJ [Cryp] )
- c:\\windows\\system32\\mmydaspw.dll - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.KDV.37581, AVAST4: Win32:MalOb-IJ [Cryp] )
Уважаемый(ая) Serge Sobchuk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
