Что это может быть? Что делать и кто виноват?

1
RSS
Обстановка следующая:
Дней примерно 10 назад я поставил на домашнюю машинку nod32. Версия 2.7. Ключа нет, но "триальный" период еще не кончился.

До этого стоял drweb (с подлинным ключом), но его последняя версия слишком уж стала тормозить работу компа.

Win-XP, SP3. Комп подключен к инету через внешний роутер dlink, внешний IP - public, через роутер смапированы несколько tcp-портов: для аськи, для radmin-а и т.п.

Резидентный монитор AMON регулярно вывешивает предупреждения о вирусах. Происходит это (я уж не знаю совпадение это или нет) только при запущенном браузере (opera 9.27). Один раз такое было ровно в момент запуска  браузера (опера при этом открывает вся свои ранее открытие окна с сайтами).
Но чаще это происходит в период, когда на компе никакой активности нет! Утром приду - на дисплее предупреждение от AMONа. Ничего подозрительного при этом не открыто. Сегоня "в ночное" оставались api.joomla.org, ucoz.ru, php.net, разные yandex-ы, dbug.ospinto.com, rutracker. По "детско-юношеским" сайтам не гуляю, староват-с. Утром - опять червяк.

Проверка (сканер по требованию) выполнена не раз, в том числе с самими параноидальными настройками, ничего не дала. Дрвеб, который тут не один год работал, подобной паранормальной активности никогда не регистрировал - если уж он что-то ловил, то источник всегда был понятен.

Логи показать сложно - из окошка показа логов в "буфер обмена" они копируются в какой-то неопознаваемой кодировке, а где в настройках программы включить английский язык интерфейса я так и не нашел.

NOD32 CC -> Логи -> Лог вирусов

Bpeìÿ Moäóëü Oáúeêò Èìÿ Bèpóc Äeécòâèe Ïoëüçoâaòeëü Èíôopìaöèÿ
^^^^^ вся кирилица в таком вот виде :)
дальше я ее вычищу

12-04-2010 13:29:41 AMON C:\TEMP\742.tmp Win32/Kryptik.DCR MIKE\admin C:\WINDOWS\system32\svchost.exe.
12-04-2010 13:29:31 AMON C:\TEMP\741.tmp Win32/Kryptik.DCR MIKE\admin C:\WINDOWS\system32\svchost.exe. 10-04-2010 02:32:52 AMON C:\WINDOWS\system32\sfcfiles.dll.bak Win32/Agent.QYP MIKE\admin E:\Programs\Opera\Opera.exe.
10-04-2010 02:31:45 AMON C:\WINDOWS\system32\sfcfiles.dll Win32/Agent.QYP MIKE\admin E:\Programs\Opera\Opera.exe.
08-04-2010 16:27:27 AMON C:\WINDOWS\System32\rihd.VVpno Win32/Oficla.FS \Device\HarddiskVolume2\WINDOWS\System32\rihd.VVVpno C:\WINDOWS\system32\wbem\wmiprvse.exe.
07-04-2010 18:24:26 AMON C:\WINDOWS\System32\rihd.Vpno Win32/Oficla.FS \Device\HarddiskVolume2\WINDOWS\System32\rihd.VVpno C:\WINDOWS\system32\wbem\wmiprvse.exe.
06-04-2010 21:22:59 AMON C:\WINDOWS\system32\drivers\sfc.sys Win32/Rootkit.Agent.NSY NT AUTHORITY\SYSTEM C:\WINDOWS\system32\winlogon.exe.
06-04-2010 18:48:20 C:\TEMP\16C8.tmp Win32/Oficla.FS
06-04-2010 18:46:49 C:\WINDOWS\system32\rihd.pno Win32/Oficla.FS
06-04-2010 10:20:21 AMON C:\TEMP\18EB.sys Win32/Rootkit.Agent.NSY NT AUTHORITY\SYSTEM C:\WINDOWS\system32\spoolsv.exe.

И что мне с этим все делать, с таким красивым?
Что это - ложные срабатывания?
Если это действительно зараза, то как она ко мне проникает? Где эта дырка, как ее законопатить?
Логи делать по правилам раздела!
http://forum.esetnod32.ru/forum9/topic54/
и этот
http://forum.esetnod32.ru/forum9/topic53/

и прикрепить к посту.
Изменено: zloyDi - 12.04.2010 15:34:17

Сделал.
В программе HijackThis поставить галочки напротив:

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe mtct.kio skvskh
O4 - HKLM\. .\Run: [plugin] "C:\Program Files\plugin.exe"

и нажать Fix checked

Адреса сами вносили в хост файл? Если нет, почистить, если да то проверить еще раз нужные IP!!!!

Удалить файл C:\Program Files\plugin.exe

скачать утилиту Malwarebytes' Anti-Malware
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Скачать, установить, обновить, выполнить быстрое сканирование, лог после сканирвания приложить.
Изменено: zloyDi - 12.04.2010 16:25:18

Цитата
zloyDi пишет:
Адреса сами вносили в хост файл? Если нет, почистить, если да то проверить еще раз нужные IP!!!!

Вносил, но не "вконтакты". Это уже явно червие поработало. Эти IP я уже проверил - фельшивые. А те, что я вписывал сам, - правильные.

Цитата
Удалить файл C:\Program Files\plugin.exe

Нет там такого файла. Каталог C:\Program Files\ никаких файлов вообще не содержит, только подкаталоги.

Цитата
утилиту Malwarebytes' Anti-Malware Скачать, установить, обновить, выполнить быстрое сканирование, лог после сканирвания приложить.

Сделал. Ох, ни фига себе!
Удалите все что предлагает Malwarebytes' Anti-Malware, перезагрузите ПК,

По этому адресу будет карантин
c:\Documents and Settings\*USER*\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine\
Запакуйте всю папку и пришлите на virusesnod32@gmail.com для анализа.

также сообщите что с проблемой.

Цитата
zloyDi пишет:
Запакуйте всю папку и пришлите на virusesnod32@gmail.com для анализа.
Сделал.


Цитата
также сообщите что с проблемой.
Пока не знаю. Сутки-другие подождать бы надо.

Я несколько удивлен. Если на машине были черви, (mtct.kio и прочие), то почему они не выявились ни монитором ни сканером?
Цитата
morra пишет:
Я несколько удивлен. Если на машине были черви, (mtct.kio и прочие), то почему они не выявились ни монитором ни сканером?

2 файла от радмина, остальные скажу только после анализа.

100% выловить не возможно, файл mtct.kio скорее всего являеться загрузчиком вирусов, потому нод в TEMP папке постоянно вирусы и находил, версия нода 2,7 уже давно не актуальна, я бы рекомендовал сменить ее на 4.2

Радмин все же покоцался? Досадно. Я старался его не угробить, он мне нужен. Ладно, переставлю, что ж поделать.
Присланные Файлы

Будет ловиться с версией баз 5022
7D89.tmp - Win32/Oficla.FY
mtct.kio - Win32/Oficla.FY

Будет добавлено в следующее обновление.
netprotocol.dll - Win32/Zbot.XX

Спасибо!
Изменено: zloyDi - 12.04.2010 19:54:58

1
Читают тему (гостей: 1)