![]() |
Кто такой Libsysmgr.exe?
Завёлся дружок на компе Libsysmgr.exe. Инициализирует огромный исходящий траффик(когда в инете), закрывает regedit, msconfig, KAV, инсталлятор DrWeb, ZA. Больше ничего не замечено. В безопасно режиме такого нет. В нём установил зоналарм, доктор вебер. Антивирус ничего не нашёл, а зоналарм при блокировке позывов в инет этого друга снимает проблему исходящего трафика. Опознайте чудо и как с ним эффективней бороться?
|
|
Murder7
Для подобных случаев, я таки повесил объявление в ИБ по on-line проверке файлов на вирусы. |
Сегодня он вообще блокировал траффик. Вобщем грохнул я этот файл в безопасном режиме. И немного из реестра выкинул, но меня насторожила строк NT Loggin sevice.
|
А ссылка дохлая, но по ней я понял, что вирус этот - w32.donk.s
|
Murder7
Цитата:
Кратко процитирую: W32.Donk.S is a network-aware worm that propagates through open network shares and allows a remote attacker to have unauthorized access to the infected computer through a backdoor. The worm also attempts to spread by exploiting several system vulnerabilities ... Once W32.Donk.S is executed, it performs the following actions: ... Prevents access to several security related Web sites by modifying the hosts file in %System%\drivers\etc and adding the following lines: ... 127.0.0.1 customer.symantec.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 updates.symantec.com 127.0.0.1 update.symantec.com 127.0.0.1 www.nai.com 127.0.0.1 nai.com 127.0.0.1 secure.nai.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 www.my-etrust.com 127.0.0.1 my-etrust.com 127.0.0.1 mast.mcafee.com 127.0.0.1 ca.com 127.0.0.1 www.ca.com 127.0.0.1 networkassociates.com 127.0.0.1 www.networkassociates.com 127.0.0.1 avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 kaspersky.com 127.0.0.1 www.f-secure.com 127.0.0.1 f-secure.com 127.0.0.1 viruslist.com 127.0.0.1 www.viruslist.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 mcafee.com 127.0.0.1 www.mcafee.com 127.0.0.1 sophos.com 127.0.0.1 www.sophos.com 127.0.0.1 symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 www.symantec.com |
Murder7
Цитата:
Цитата:
|
Цитата:
Я только имя файла не нашёл, который убрать нужно. На ссылку до сих пор не заходит. Сейчас реестр от остатков вычищу, попробую. На касперского пускает. В инет пока левый никто не ломится. |
Вроде бы всё: были Trojan.Dyfuca/ Trojan-Spy.Win32.Qukart/ Trojan-Downloader.Win32.ISTBar/ Net-Worm.Win32.Padobot/ Trojan.Win32.Qhost
Откуда подцепил - с кряк сайтов и от знакомого (с винчем приходил). По первому линку получил доп. сведения по очистке от вирька. Буду искать описания других. |
Цитата:
|
Это мне поможет? http://securityresponse.symantec.com....berbew.p.html
|
Murder7
Цитата:
Ну а как вариант - максимум почистить ручками все подозрительное автозагружаемое (включая службы), как вариант - вообще временно отключить все, что не нужно для обязательной работы машины. Потом снести антивирус (начисто, включая из реестра) и поставить заново (в идеале - другой, хотя бы временно). |
Цитата:
Цитата:
Однако остаётся последнее, ранее мной не замеченное. Есть ли служба у вас в процессах WDFMGR. В реестре есть в 4 местах, пишет что: Включение драйверов пользовательского режима Windows. Windows User Mode Driver Framework. C:\WINDOWS\System32\wdfmgr.exe Сидит в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdf |
Время: 07:22. |
Время: 07:22.
© OSzone.net 2001-