Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Что за вирь? (http://forum.oszone.net/showthread.php?t=86422)

NordWest 05-07-2007 10:23 608429

Что за вирь?
 
Где-то словил вирус на флешку, а может и в инете, хз. Началось с того, что Outpost обнаружил исходящее соединение от процесса svchost.exe, который был запущен под пользователем и из папки Documents And Settings\...\Local Settings\. Я его заблокировал, потом попробовал SAV 10 проверить, но не удалось, антивирус начал глючить и отказываться сначала от проверки, а потом и вообще вылезать из трея. Тогда просто удалил файлы svchost.exe и svchost.sys, кажется, из этой папки. Но ничего не закончилось.

Дальше упал весь TCP-IP, т.е. вся последовательность служб, которая, оказывается, базируется на слетевшем драйвере AFD. Но это после пары перезагрузок восстановилось. Проверки AVZ, SAV и ad-aware существенно ситуацию не изменили, всё вроде бы работает, но где-то что-то сидит. А на последок ещё и не получается почту отправлять батом, хотя получать нормально выходит. После отправки письмо долго проверяется SAV'ом и пишется, что смтп сервер не доступен.

Такие вот дела тварятся. Недавно по работе комп от вируса восстанавливал, так симптомы те же. Там я винду переустановил, вроде всё работало, но письма тоже не отправлялись. У себя теперь не хочется переустанавливать винду, хотелось бы понять, что за зверь и как его завалить. Помогите плз!

Severny 05-07-2007 12:00 608464

Для начала скачай http://www.trendsecure.com/portal/en...ackThis_v2.exe , сделай лог и выкладывай здесь.
Удавим гада.

Greyman 05-07-2007 12:16 608480

NordWest
Цитата:

Проверки AVZ, SAV и ad-aware существенно ситуацию не изменили, всё вроде бы работает, но где-то что-то сидит.
Почему осталось предположение о том, что "где-то что-то сидит", что на это указывает? Что дала проверка AVZ (база надеюсь была обновленная)? Броверка была в режиме AVZGuard, AVZPM установлен? Перехватов системных вызовов не обнаружено (красные строки)?

Цитата:

После отправки письмо долго проверяется SAV'ом и пишется, что смтп сервер не доступен.
А при отключенном SAV что происходит? Попробуй еще глянуть эту тему:
потерял возможность браузинга

NordWest 05-07-2007 19:51 608672

Вложений: 1
Hijack сделал, лог прикрепил.

Хз, что указывает на присутствие вируса, интуитивно ощущаю, что что-то не так, глюки мелкие всякие, нетипичные.

AVZ использовал без прибамбасов. С ними не очень получилось: AVZGuard включил, а вот драйвер для AVZPM не проставился. Паралельно с этим и AFD как раз вылетал.

САВ вырубить так и не удалось, попробую ещё удалить его попозже, а так не даётся, в трее письмо с лупой высвечивает.

Ещё среди запущенных процессов какие-то подозрительные твари есть, запущенные от пользователя: Amoumain.exe, Application Launcher.exe... [Хм, отрудил их, колёсико не крутится... Значит одна из них програмка мышиная.]

Что по логу хайджека?

Severny 05-07-2007 20:00 608679

Цитата:

Что по логу хайджека?
1. Отметь в Hijack галочкой и нажми Fix cheked эти параметры.

O2 - BHO: (no name) - {7D593456-CE40-4F17-921B-8717A3BBB60E} - (no file)
O4 - HKLM\..\Run: [Service Host] C:\DOCADN~1\Drey\LOCALS~1\Temp\svchost.exe
O4 - HKLM\..\Run: [MSsupport] C:\windows\msrtmon.exe

2. Скачай эту утилиту http://www.atribune.org/ccount/click.php?id=1
Отметь галочкой Windows Temp, All Users Temp, Current User Temp, Java Cache.
Потом Empty Selected.
Перегружайся.

3. Скачай и проверь системный раздел этим сканером ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe (лучше в безопасном режиме, а затем в рабочем)

После всего присылай опять отчет Hijack.

4. Делай все по порядку, как написано (только скачай все заблаговременно)

Возможно вылечишься, в противном случае призовем на помощь исследователь системы AVZ.

NordWest 05-07-2007 22:59 608807

Ну что, письма пошли! :) Спасибо Severny! Будет теперь метод лечения поинтереснее простой проверки антивирусом.

Сейчас пункт 3 на ночь постевлю с полной проверкой. Быстрая ничего не нашла. И нужно будет ещё флешку как-то проверить.

Ну и какой вообще вывод? Мой САВ пропустил вирус и не даёт полной защиты? Т.е. это может повториться оч скоро. Или раз на раз?

П.С. Да и вообще, что это было?

Severny 05-07-2007 23:14 608812

1. Тебе надо прислать повторный отчет Hijack. То что пошли письма нет уверенности в излечении.
2. Что было -- не знаю :). Зараза -- она и есть зараза :)
Письма скорее всего не шли, потому что это был наверное спамбот ( с тебя рассылали спам). Может мы разрушили локальный smtp-сервер.
3. http://slil.ru/24593848 Скачай эту утилитку и заодно проверь флешку и комп. Она лечит вирус, который на флешках любит селиться.
4. Я бы ставил антивирусы отечественного пр-ва, ну в крайнем случае чешский NOD32 (только он лечить не умеет :( )

NordWest 06-07-2007 08:09 608898

Вложений: 1
Просканировал CureIt, проде бы ничего не нашел.

Вот лог ХайДжека теперь.

Severny 06-07-2007 10:51 609008

Вроде чисто.
Вот за что не люблю Symantek -- вгрызается везде, служб и процессов у него куча, удалить по человечески не получается без Norton Remover,
отсылает к себе на сервак непонятно какую информацию, а толку от него не так уж и много. Не стал бы я его себе ставить.

NordWest 07-07-2007 10:23 609580

Ясно, спасибо!


Время: 03:15.

Время: 03:15.
© OSzone.net 2001-