Сделал все как описано в правилах. Вроде исходящий траффик потух но чтобы убедиться все ли вылечилось, посмотрите плиз логи.
Сделал все как описано в правилах. Вроде исходящий траффик потух но чтобы убедиться все ли вылечилось, посмотрите плиз логи.
Последний раз редактировалось NecroMaster; 17.05.2007 в 07:16.
Выполните скрипт в AVZ
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\DOWNLO~1\CSViewer.ocx',''); QuarantineFile('C:\Windows\xpupdate.exe',''); QuarantineFile('\SystemRoot\system32\DRIVERS\vsb.sys',''); QuarantineFile('C:\WINDOWS\qvphook.dll',''); RebootWindows(false); end.
@NecroMaster
После скрипта MaXimа: Удалите NewDotNet, только точно, как здесь описано, а то останетесь без сети: http://www.computerbild.ru/?did=14_1086
файл загрузил.
только в карантине не было файла xpupdate.exe
нет файла.
смотрел глазами в папке windows, искал с помощью avz, искал с помощью винды. Включил показывать скрытые и системные файлы.
И самое главное. Огромный исходящий траффик остался.
@NecroMaster
повторите пожалуйста логи, как в Вашем первом сообщении.
теперь гораздо больше красноты
Последний раз редактировалось NecroMaster; 17.05.2007 в 07:16.
Что Вы имеете ввиду под краснотой?
Попробуте удалить вручную через regedit
Файл есть и в HJT и в АВЗ-логах. Посмотрите установки для поиска : http://freenet-homepage.de/rene-gad/invisible.htmlHKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\Windows update loader
Ищите через АВЗ по маске xpupdate.* или xpupdat* - м.б. у файла скрытое расширение, напр. xpupdate.exe______________________________________ _________________________________com, в этом случае его труднее поймать за хвост.
Попробуйте такой скрипт:
Пришлите по правилам то, что попадет в карантин.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\svchost.exe',''); QuarantineFile('C:\Windows\xpupdate.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
установил outpost firewall
вот что пишет:
svchost.exe пытался получить доступ к rawsocket
и
svchost.exe пытается с разных портов попасть на сайт russiapays.com по 80 порту...
этих портов он очень много открывает
Bratez
попался только svchost.exe, файл закачал
xpupdate.exe так и не нашел на компе. запись в реестре почистил.
Поймался свеженький! На Virustotal'e на него многие обзываются по-разному, а вот КАВ еще не знает, я им отправил. Давайте его прибъем:
а после перезагрузки опять попробуем поймать неуловимого, чем черт не шутит :Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\svchost.exe'); BC_DeleteFile('C:\WINDOWS\svchost.exe'); BC_Activate; RebootWindows(true); end.
Если попадется - шлите, а если нет - сделайте новые логи.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\xpupdate.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
у нас уже поздно... мне надо уходить. продолжим завтра если Вы не против.
два последние скрипта выполнил. xpupdate.exe не поймался. завтра скину новые логи.
продолжим?
вот последние логи
при проверке выделил файл IMEn находящийся в windows\system32
nod что то заподозрил но сказал что неизвестный вирус. Отправил им.
по вирус тотал не однозначные мнения.
Последний раз редактировалось NecroMaster; 17.05.2007 в 07:54.
А нам?! Файл действительно подозрительный.Отправил им.
В первых логах что-то я этого не припомню, хотя может и прозевал.
Вот это надо фиксить:
Первое - ошметки от NewDotNet, а касательно второго: настоящая служба "Поставщик поддержки безопасности NT LM" имеет имя NtLmSsp и исполняемый файл у нее lsass.exe.Код:O23 - Service: NNServ - Unknown owner - C:\Program Files\NewDotNet\nnrun.exe" "C:\Program Files\NewDotNet\nncore.dll" ServiceStart (file missing) O23 - Service: Поставщик поддержки безопасности NT LM NtLmSspBITS (NtLmSspBITS) - Unknown owner - C:\WINDOWS\system32\IMEn.exe
Так что выполните скрипт:
и карантин в студию, а потом запустите окошко командной строки и выполните в нем команды:Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\IMEn.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
sc delete NNServ
sc delete NtLmSspBITS
I am not young enough to know everything...
Вот еще скрипт для удаления файла, т.к. sc (afaik) только удаляет ключ в реестре:
Сделайте лог HijackThis для контроля.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\IMEn.exe'); BC_DeleteFile('C:\WINDOWS\system32\IMEn.exe'); BC_Activate; RebootWindows(true); end.
P.S. Это был Backdoor.Win32.IRCBot.abc. Мутант какой-то - в соседней теме он косил под службу автообновлений.
I am not young enough to know everything...
Уважаемый(ая) NecroMaster, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.