Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] smtdrv pptcs постоянно лезут в инет , virustotal: 8 из 44 Win32:Downloader-JNT

1
RSS
 
sealatusserafim
sealatusserafim
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 07.07.2011
Размещено 09.09.2011 18:55:52
c:\windows\syswow64\pptcs.exe
c:\windows\syswow64\smtdrv.exe
адрес 46.137.253.144:80
сканирование системы с live-образа не дало результатов
обращение происходит примерно 2 раза в полминуты
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 09.09.2011 19:10:39
создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic683/

обновленный uVS скачайте отсюда
http://dsrt.dyndns.org/files/uvs_v371.zip
или отсюда (ессли у вас установлен Аваст)
http://rghost.ru/20995991
[ Как создать образ автозапуска? ]
 
sealatusserafim
sealatusserafim
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 07.07.2011
Размещено 09.09.2011 19:32:31
Цитата
santy пишет:
создайте образ автозапуска в uVS

http://forum.esetnod32.ru/forum9/topic683/



обновленный uVS скачайте отсюда

http://dsrt.dyndns.org/files/uvs_v371.zip

или отсюда (ессли у вас установлен Аваст)

http://rghost.ru/20995991
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 09.09.2011 20:02:17
если есть возможность работы из под Live.CD, то выполните такую процедуру поиска:

1. в активной (предположительно зараженной системе) создайте файл сверки автозапуска,
в режиме uVS - руткиты - создать файл сверки (1-2мин)
сохраните на флэшку, или в каталог на жестком диске.
2. загрузитесь с Live CD и выполните запуск uVS (например с флэшки),
выберите в окне start.exe вашу систему с каталога C:\windows,
загрузите uVS и выполните функцию "поиск скрытых и измененных объектов по файлу сверки.

3. после завершения этого действия сохраните (новый) полный образ автозапуска,
и добавьте его на форум.
----------
возможно таким образом мы увидим скрытые файлики в системе, которые не отображаются в автозапуске в активной системе,
и которые выполняют эти деструктивные дейсвтия, с постоянной подкачкой файликов
[ Как создать образ автозапуска? ]
 
sealatusserafim
sealatusserafim
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 07.07.2011
Размещено 10.09.2011 00:22:22
в качестве антивиря у меня ESS стоит 4.2.71.3. Базы вчерашние.
"поиск скрытых и измененных объектов по файлу сверки" выдал что различий не обнаружено, но новый полный образ, созданный из под live-cd, все-равно прилагаю.
в качестве лива использовал alkid на базе winpe.
оба первоначальных файла снес, таблички нодовского фаервола теперь больше не вылазят, но не хотелось бы в системе оставлять дыры, тем более непонятно каким образом в системе появилась данная гадость, никаких тревог или отключений антивиря.
Изменено: sealatusserafim - 10.09.2011 00:23:06
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 10.09.2011 01:05:58
я так понимаю, фаерволл перехватывал обращение на адрес адрес 46.137.253.144:80 именно от этих файлов,
c:\windows\syswow64\pptcs.exe
c:\windows\syswow64\smtdrv.exe
и после того, как вы их удалили, исходящие соединения прекратились.
попали в систему возможно через эксплойты.
Adobe Flash Player для Firefox/Opera у вас не обновленный. (10.2.159.1)

в образе, действительно ничего подозрительного нет.
закройте браузеры перед выполнением.
выполните скрипт из буфера обмена для очистки системы

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

delall %SystemDrive%\PROGRAM FILES (X86)\BONJOUR\MDNSRESPONDER.EXE
delall %SystemDrive%\USERS\X53U\APPDATA\LOCAL\YANDEX\UPDATER\PRAETO­RIAN.EXE
delall %SystemDrive%\PROGRAM FILES\BONJOUR\MDNSNSP.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\BONJOUR\MDNSNSP.DLL
deltmp
delnfr
regt 1
regt 2
regt 5
regt 18
restart
перезагрузка,
можно так же сделать проверку в МБАМ.
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
 
sealatusserafim
sealatusserafim
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 07.07.2011
Размещено 10.09.2011 14:23:29
я хромом пользуюсь а в нем последняя версия adobe flash стоит
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 10.09.2011 15:08:30
по логам - чисто.
[ Как создать образ автозапуска? ]
 
1
Читают тему