Форум esetnod32.ru [тема: smtdrv pptcs постоянно лезут в инет]

Форум esetnod32.ru [тема: smtdrv pptcs постоянно лезут в инет] http://forum.esetnod32.ru Новое в теме smtdrv pptcs постоянно лезут в инет форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Tue, 21 Apr 2026 14:32:21 +0300 smtdrv pptcs постоянно лезут в инет smtdrv pptcs постоянно лезут в инет virustotal: 8 из 44 Win32:Downloader-JNT в форуме Обнаружение вредоносного кода и ложные срабатывания.
по логам - чисто.
10.09.2011 15:08:30, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2322/message19983/ http://forum.esetnod32.ru/messages/forum6/topic2322/message19983/ Sat, 10 Sep 2011 15:08:30 +0400 Обнаружение вредоносного кода и ложные срабатывания smtdrv pptcs постоянно лезут в инет smtdrv pptcs постоянно лезут в инет virustotal: 8 из 44 Win32:Downloader-JNT в форуме Обнаружение вредоносного кода и ложные срабатывания.
я хромом пользуюсь а в нем последняя версия adobe flash стоит
mbam-log-2011-09-10 (14-12-34).txt
Подключаемые модули.rar
10.09.2011 14:23:29, sealatusserafim.]]> http://forum.esetnod32.ru/messages/forum6/topic2322/message19980/ http://forum.esetnod32.ru/messages/forum6/topic2322/message19980/ Sat, 10 Sep 2011 14:23:29 +0400 Обнаружение вредоносного кода и ложные срабатывания smtdrv pptcs постоянно лезут в инет smtdrv pptcs постоянно лезут в инет virustotal: 8 из 44 Win32:Downloader-JNT в форуме Обнаружение вредоносного кода и ложные срабатывания.
я так понимаю, фаерволл перехватывал обращение на адрес адрес 46.137.253.144:80 именно от этих файлов,
c:\windows\syswow64\pptcs.exe
c:\windows\syswow64\smtdrv.exe
и после того, как вы их удалили, исходящие соединения прекратились.
попали в систему возможно через эксплойты.
Adobe Flash Player для Firefox/Opera у вас не обновленный. (10.2.159.1)

в образе, действительно ничего подозрительного нет.
закройте браузеры перед выполнением.
выполните скрипт из буфера обмена для очистки системы

====quote====
;uVS v3.71 script [http://dsrt.dyndns.org]

delall %SystemDrive%\PROGRAM FILES (X86)\BONJOUR\MDNSRESPONDER.EXE
delall %SystemDrive%\USERS\X53U\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\PROGRAM FILES\BONJOUR\MDNSNSP.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\BONJOUR\MDNSNSP.DLL
deltmp
delnfr
regt 1
regt 2
regt 5
regt 18
restart

=============
перезагрузка,
можно так же сделать проверку в МБАМ.
http://forum.esetnod32.ru/forum9/topic682/
10.09.2011 01:05:58, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2322/message19972/ http://forum.esetnod32.ru/messages/forum6/topic2322/message19972/ Sat, 10 Sep 2011 01:05:58 +0400 Обнаружение вредоносного кода и ложные срабатывания smtdrv pptcs постоянно лезут в инет smtdrv pptcs постоянно лезут в инет virustotal: 8 из 44 Win32:Downloader-JNT в форуме Обнаружение вредоносного кода и ложные срабатывания.
в качестве антивиря у меня ESS стоит 4.2.71.3. Базы вчерашние.
"поиск скрытых и измененных объектов по файлу сверки" выдал что различий не обнаружено, но новый полный образ, созданный из под live-cd, все-равно прилагаю.
в качестве лива использовал alkid на базе winpe.
оба первоначальных файла снес, таблички нодовского фаервола теперь больше не вылазят, но не хотелось бы в системе оставлять дыры, тем более непонятно каким образом в системе появилась данная гадость, никаких тревог или отключений антивиря.
X53U-PC_2011-09-09_20-42-47.rar
10.09.2011 00:22:22, sealatusserafim.]]> http://forum.esetnod32.ru/messages/forum6/topic2322/message19971/ http://forum.esetnod32.ru/messages/forum6/topic2322/message19971/ Sat, 10 Sep 2011 00:22:22 +0400 Обнаружение вредоносного кода и ложные срабатывания smtdrv pptcs постоянно лезут в инет smtdrv pptcs постоянно лезут в инет virustotal: 8 из 44 Win32:Downloader-JNT в форуме Обнаружение вредоносного кода и ложные срабатывания.
если есть возможность работы из под Live.CD, то выполните такую процедуру поиска:

1. в активной (предположительно зараженной системе) создайте файл сверки автозапуска,
в режиме uVS - руткиты - создать файл сверки (1-2мин)
сохраните на флэшку, или в каталог на жестком диске.
2. загрузитесь с Live CD и выполните запуск uVS (например с флэшки),
выберите в окне start.exe вашу систему с каталога C:\windows,
загрузите uVS и выполните функцию "поиск скрытых и измененных объектов по файлу сверки.

3. после завершения этого действия сохраните (новый) полный образ автозапуска,
и добавьте его на форум.
----------
возможно таким образом мы увидим скрытые файлики в системе, которые не отображаются в автозапуске в активной системе,
и которые выполняют эти деструктивные дейсвтия, с постоянной подкачкой файликов
09.09.2011 20:02:17, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2322/message19962/ http://forum.esetnod32.ru/messages/forum6/topic2322/message19962/ Fri, 09 Sep 2011 20:02:17 +0400 Обнаружение вредоносного кода и ложные срабатывания smtdrv pptcs постоянно лезут в инет smtdrv pptcs постоянно лезут в инет virustotal: 8 из 44 Win32:Downloader-JNT в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
создайте образ автозапуска в uVS

http://forum.esetnod32.ru/forum9/topic683/

обновленный uVS скачайте отсюда

http://dsrt.dyndns.org/files/uvs_v371.zip

или отсюда (ессли у вас установлен Аваст)

http://rghost.ru/20995991
=============

X53U-PC_2011-09-09_19-27-06.rar
09.09.2011 19:32:31, sealatusserafim.]]> http://forum.esetnod32.ru/messages/forum6/topic2322/message19961/ http://forum.esetnod32.ru/messages/forum6/topic2322/message19961/ Fri, 09 Sep 2011 19:32:31 +0400 Обнаружение вредоносного кода и ложные срабатывания smtdrv pptcs постоянно лезут в инет smtdrv pptcs постоянно лезут в инет virustotal: 8 из 44 Win32:Downloader-JNT в форуме Обнаружение вредоносного кода и ложные срабатывания.
создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic683/

обновленный uVS скачайте отсюда
http://dsrt.dyndns.org/files/uvs_v371.zip
или отсюда (ессли у вас установлен Аваст)
http://rghost.ru/20995991
09.09.2011 19:10:39, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2322/message19959/ http://forum.esetnod32.ru/messages/forum6/topic2322/message19959/ Fri, 09 Sep 2011 19:10:39 +0400 Обнаружение вредоносного кода и ложные срабатывания smtdrv pptcs постоянно лезут в инет smtdrv pptcs постоянно лезут в инет virustotal: 8 из 44 Win32:Downloader-JNT в форуме Обнаружение вредоносного кода и ложные срабатывания.
c:\windows\syswow64\pptcs.exe
c:\windows\syswow64\smtdrv.exe
адрес 46.137.253.144:80
сканирование системы с live-образа не дало результатов
обращение происходит примерно 2 раза в полминуты
pptcs.zip
smtdrv.zip
09.09.2011 18:55:52, sealatusserafim.]]> http://forum.esetnod32.ru/messages/forum6/topic2322/message19958/ http://forum.esetnod32.ru/messages/forum6/topic2322/message19958/ Fri, 09 Sep 2011 18:55:52 +0400 Обнаружение вредоносного кода и ложные срабатывания