DRadmin

Спасибо!
Переустановка - это конечно радикально :)
Антивирь-то как раз есть, и работающий. Похоже и правда малораспространенная зараза...

Была такая же ситуация в соседней конторе буквально вчера.
Это не вирус, а видимо какой-то внешний спам-бот, который юзал почтовый релэй и забивал весь канал, доступный для SMTP-трафика.
решилась проблема путем настройки правил фаервола, который отсекал этого бота.
PS: юзайте UNIX :)

Запустил sfc /scannow
Вроде бы помогло - попыток коннектится нет. Открыл машине доступ на файрволе. Вроде бы пока никакой рассылки.
(Правда не перегружался еще :) )

Была такая же ситуация в соседней конторе буквально вчера.
Это не вирус, а видимо какой-то внешний спам-бот, который юзал почтовый релэй и забивал весь канал, доступный для SMTP-трафика.
решилась проблема путем настройки правил фаервола, который отсекал этого бота.
PS: юзайте UNIX
Это не вирус, а троян. Да, он спамбот, но закрыв доступ на файрволе, мы отсекаем попытки законнектиться с папой, но не убиваем заразу на нашем компе. Я тоже так сделала, закрыв IP и порт 7711. При этом "бедняга" каждые 20 секунд пытается выйти в инет, что ни есть хорошо.
UNIX это хорошо, согласна. Вот осваиваем потихоньку. Но ведь и его надо юзать по уму, а не просто поставить себе линух и радоваться жизни. Апдейты никто не отменял и правильные настройки служб/сервисов - тоже.
.
Запустил sfc /scannow
Вроде бы помогло - попыток коннектится нет.
Хорошо, что сканирование помогло, если помогло:) А если нет и опять начнутся коннекты к "папе", то можете снести свой антивирь и поставить NOD32, который поймает шпиона за хвост и скажет его имя, которое я пока не нашла:( А потом с тем же успехом можно снести NOD32 и поставить родной антивирь!

18:57:41.606790 IP 10.0.5.248.3414 > 72.20.5.106.domain: S 4104539351:4104539351(0) win 16384 <mss 1460,nop,nop,sackOK> 18:57:41.606994 IP 10.0.5.248.3415 > 72.20.5.106.domain: S 4104599505:4104599505(0) win 16384 <mss 1460,nop,nop,sackOK> 18:57:41.607159 IP 10.0.5.248.3417 > 72.20.5.106.domain: S 4104662479:4104662479(0) win 16384 <mss 1460,nop,nop,sackOK> 18:57:41.607220 IP 10.0.5.248.3418 > 72.20.5.106.domain: S 4104697222:4104697222(0) win 16384 <mss 1460,nop,nop,sackOK> 18:57:41.607304 IP 10.0.5.248.3419 > 72.20.5.106.domain: S 4104730576:4104730576(0) win 16384 <mss 1460,nop,nop,sackOK> 18:57:41.607440 IP 10.0.5.248.3421 > 72.20.5.106.domain: S 4104784650:4104784650(0) win 16384 <mss 1460,nop,nop,sackOK> 18:57:41.607534 IP 10.0.5.248.3422 > 72.20.5.106.domain: S 4104832162:4104832162(0) win 16384 <mss 1460,nop,nop,sackOK> 18:57:41.607623 IP 10.0.5.248.3423 > 72.20.5.106.domain: S 4104882446:4104882446(0) win 16384 <mss 1460,nop,nop,sackOK> 18:57:41.607687 IP 10.0.5.248.3424 > 72.20.5.106.domain: S 4104931196:4104931196(0) win 16384 <mss 1460,nop,nop,sackOK>


Вот маленький фрагмент лога вирусной атаки с абонентской машины в нашей локальной сети. Таких логов в последнее время накопилось очень много. Причем активность резко возрастает примерно 19,00 до 21,00. Довольно не плохо с этой бедой справляется NOD 32 с обнавленными базами т.е. он непропускает на компьютер этого червя. А для удаления используем утилиту removeit_pro.exe
http://www.download3k.com/Install-RemoveIT-Pro-XT2a-SE.html

DRadmin

Хорошо, что сканирование помогло, если помогло

Вроде бы пока все ОК. После перезагрузок активности не замечено :)

Про этот вирус от 28.01.07:

У Касперского он называется Trojan-Proxy.Win32.Dlena.bv
создает файл rpcc.dll папке %system%\system32 и ветку реестра HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc, из которой запускается при старте системы и творит спам-рассылку.
(ветку и файл можно вручную удалить в безопасном режиме)
Его предшественниками являются Downloader(Symantec его обнаруживает давно, но толкового описания и лечения не придумал, потому что он до обнаружения иногда успевает гадость какую-нибудь сделать) и Trojan.Goldun.

Symantec с его лечением на этот раз сильно опоздал.
29.01 я нашел его вручную, проверил в онлайне находку у Касперского и DRWeb(имя Spambot) и сообщил техслужбе Symantec, надеялся, что они включат его обнаружение в virus definitions от 31.01.07, но они тупо не включили, формально отписались.
NAV его не сканировал. Только в обновлении Symantec от 07.02.07 появилось его обнаружение, но опять же без конкретных ссылок на ветки реестра. Очень печально.
Возможно вирус российского происхождения, учитывая что Касперский и DRWeb его первыми выловили.

Всем привет...возникла такая проблема, все инсталяционные файлы на компьютере заражены, то есть ты на них нажимаешь и ноль реакции, также после скачивания новых, на следущий день или даже вечером они опять оказываются заражены, перед этим появлялась (уже 4 дня не появлялась, но после неё файлы заражались) ошибка syshost.exe и указывался путь к какому-либо файлу (вообще рандомно) после этого иконка этого файла пропадала и файл нельзя было запустить...юзаю KIS 6, он ничего не нашёл, жду помощи ибо что делать незнаю...

В процессах syshost нету...

med0ffЭто червяк, известный под именем Net-Worm.Win32.Francette.a Причём очень старый.

При запуске червь регистрирует себя в ключе автозапуска:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft IIS"="syshost.exe"

Создайте на заведомо "чистом" компьютере восстановительный диск антивирусом Касперского. Что делать дальше, думаю рассказывать не надо. Удачи.

simsim спасибо я уже разобрался, но не могу понять где я его цепляю, 2 раза уже удалял, он опять появляется, с чем это может быть связано?

Можно иначе.
- скачай Антивирус Касперского 5.0.676 и кумулятивное обновление к нему (бесплатен в триальный период в 2 недели) либо NOD32 со свежей базой;
- Ad-Aware SE с обновлением;
- зайди в Безопасный режим и установи Ad-Aware SE и "Каспера" (последний потребует перезагрузки - откажись);
- обнови обоих (Ad-Aware SE можно обновить как из самой проги - указав путь к свежему файлу обновления - так и заменой REF-файла в папке программы);
- последовательно запусти оба средства (работать будет намного медленнее, чем при нормальной загрузке, зато не будет лишних гадостей в памяти);
- обязательно изучи содержимое автозагрузки (запусти msconfig): отключи ненужные или сомнительные строки и перегрузись в Нормальный режим.
Если увечья, нанесенные винде террористами не будут несовместимыми с жизнью, то считай, что легко отделался.

Поставь аудит на раздел реестра: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run], и жди когда следующий раз зацепиш :)

А как аудит поставить? Кстати, уже файлы не заражаются, ничего не предпринимал...

Примерно так-же как и на файлы, идёте в regedit (regedt32 win2k) на этой ветке нажимаете security и во второй вкладке определяете какие действия и кого хотите логировать. Результаты видны в event viewer - security. Только проверьте что аудит доступа к объектам в политике активирован.

Помогите разобраться.
Как мне узнать что постоянно скачивается с интернета. Я как только соеденяюсь с провайдером сразу начинается скачивание чегото. Єти два мониторчика возле часов постоянно синие какбы идет передача и прием данных с интернета, а ратьше они становились синими только когда я открывал страницу или чтото качал. Как узнать что єто за инфоримация передается.

Это по сети, DSL, - или по модему?
Если первое (и если не Вин98), запустите хотя бы эту (http://forum.oszone.net/thread-78365.html) программку, она покажет, куда, откуда и что. По идее, адреса должен показывать и файерволл, если установлен.
Если диал-ап - можно этим (http://www.diamondcs.com.au/portexplorer/).

2GSVG: Отследить, что скачивается и кем может любой более-менее приличный фаерволл: OutPost или ZoneAlarm

2Sergey60: В сообщении ничего страшного нет, и даже, не в троянах дело. Ведь зная IP-адрес, на любой компьютер можно отправить сообщение через net send. И это вовсе не является атакой - просто, как уже было сказано выше: пытаются впарить трояна (разновидность спама, какая-то!) Поэтому, можно отключить службу сообщений (как сделано по умолчанию в XP SP2 и все).

Так подозреваю, где-то в укромном месте хранятся копии этих двух вирусов, из которых после перезагрузки идет восстановление.
Нужно проверить на вирусы ВСЕ ДИСКИ, причем если есть неизвестные архивы с паролем - с ними тоже отдельно разбираться (а то, копии могут храниться в таких архивах, и антивирус ничего не скажет, т.к. не знает пароля). Вообще, рекомендуется проверять из-под заведомо чистой винды (например, у KIS есть возможность создать аварийный диск - лучше с него проверять)

2Larsoniq16: Серийник может быть вбит в файле автоустановки winnt.sif, а насчет активации - очень просто: передвигаете дату на месяц-другой вперед, и все станет ясно (так уже проверял)

Процесс explorer.exe ломится на порт 17001 следующих IP (возможно выбираются случайно):

64.62.171.141
66.45.232.75
81.95.148.18
Встретил точно то же самое вчера. Из симптомов также присутствовали вырубание системы после инсталляции (в данном случае - антивируса, по иронии судьбы, или по "закону подлости" :) ) и блокировка исходящего траффика (интернет и Радмин).
Жаль, что владелец не доверил мне лечить его комп, :) и ограничился только выполнением второго скрипта программой AVZ с этой страницы: http://virusinfo.info/showthread.php?p=99261
До того им был удалён только msnetax.dll, найденный покалеченным антивирусом, в Safe Mode, и то только с System32.
После выполнения скрипта подобных попыток не было, хотя AVZ и антивирус периодически выдавали сообщения об обнаружении других собратьев msnetax.dll и других зловредов, упомянутых во втором скрипте.

Таким образом, можно поискать файлы, перечисленные там в обоих скриптах; Если они в наличии, не активны и не в списке компонентов какого-либо системного процесса - можно удалить и самому (лучше в Safe Mode; копии тех, для которых указано "перевести в карантин", желательно сохранить в архиве под паролем). Если не удастся - провести скрипты с помошью AVZ.

недавно зашёл к знакомому, который пожаловался мне на то, что Антивирус Касперского постоянно ругается на один файл (антивирус Касперского 5-ой версии с наипоследнейшими базами). Я проверил - действительно:

x:\*\keygen.exe;возможно заражен вирусом Packed.Win32.CryptExe;28.04.2007 13:29:09

Тут его описание на viruslist.com (http://www.viruslist.com/ru/search?VN=Packed.Win32.CryptExe), а ЗДЕСЬ (http://www.virustotal.com/vt/en/resultadox?4ea3999323c450831aa44dbeb45250cb) результаты проверки его на virustotal.com:

CAT-QuickHeal_____(Suspicious) - DNAScan
eSafe___________________Suspicious Trojan/Worm
Fortinet__________________suspicious
F-Secure_________________Packed.Win32.CryptExe
Kaspersky________________Packed.Win32.CryptExe
Sunbelt__________________VIPRE.Suspicious
Webwasher-Gateway_______Virus.Win32.FileInfector.gen (suspicious)

Интересно, как его определят другие антивирусы - оригинал файла лежит в прикреплённом ZIP-архиве. Кому не лень и не трудно - скачайте и выложите результаты сканирования различными антивирусами и их версиями.

P.S. Не забывайте указывать название антивируса, его версию и дату антивирусных баз.

Большинство кейгенов для того и создаются чтоб туда вирусы впихнуть, проще серийник поискать, да и здоровее будешь...