11 мая, 2010

Программа:
ESET Smart Security 4.2.40.0, возможно другие версии
ESET NOD32 Antivirus 4.2.42.0, возможно другие версии

Опасность: Низкая

Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании приложения.

Уязвимость существует из-за ошибки при обработке LZH архивов. Удаленный пользователь может с помощью специально сформированного LZH архива вызвать зависание системы.

URL производителя: esetnod32.ru

Решение: Способов устранения уязвимости не существует в настоящее время.

http://www.securitylab.ru/vulnerability/393693.php

так же пофиксить вот эти строки:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\BhrXwC2.exe,
O4 - HKLM\. .\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

перегрузите систему, добавьте новый лог HJ.

скачайте отсюда :
http://www.malwarebytes.org/mbam.php
free version malwarebytes,
установите, обновите базы, запустите программу, выполните быстрое сканирование, лог запостите на форум.
===
выполните рекомендации  ZloyDi.
+ новые логи HJ.

логи сделайте с помощью программ: Hijackthis, SysInspector, malwarebytes (быстрое сканирование системы).
логи запостить на форум.

Вирусным аналитикам из Eset стоит обратить внимание на эту запись.

"Userinit" = "D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\35deb3f8.exe,\\?\globalroot\systemroot\system32\803b1dN.exe,\\?\globalroot\systemroot\system32\zmOfOyO.exe,\\?\globalroot\systemroot\system32\BiIhsw3.exe,\\?\globalroot\systemroot\system32\gEf3xPC.exe,\\?\globalroot\systemroot\system32\jJYhFW9.exe,\\?\globalroot\systemroot\system32\41Q4Ws7.exe,\\?\globalroot\systemroot\system32\EwIAu3e.exe,\\?\globalroot\systemroot\system32\aVU9tn9.exe,\\?\globalroot\systemroot\system32\qtTECJd.exe,\\?\globalroot\systemroot\system32\YJNCDMj.exe,\\?\globalroot\systemroot\system32\Qzdz6NN.exe,\\?\globalroot\systemroot\system32\DHK2XSH.exe,\\?\globalroot\systemroot\system32\20qd4gg.exe,\\?\globalroot\systemroot\system32\RzmmQRN.exe," ( 1: Fine ) ; Приложение Userinit для входа в систему ; Корпорация Майкрософт ;

логи от какого числа?

Вы указанные файлы отправили в вирлаб как вас просили?
===
По возможности поместите следующие файлы в архив установите пароль infected,

D:\WINDOWS\system32\35deb3f8.exe,
D:\WINDOWS\system32\803b1dN.exe,
D:\WINDOWS\system32\zmOfOyO.exe,
D:\WINDOWS\system32\BiIhsw3.exe,
D:\WINDOWS\system32\gEf3xPC.exe,
D:\WINDOWS\system32\jJYhFW9.exe,
D:\WINDOWS\system32\41Q4Ws7.exe,
D:\WINDOWS\system32\EwIAu3e.exe,
D:\WINDOWS\system32\aVU9tn9.exe,
D:\WINDOWS\system32\qtTECJd.exe,
D:\WINDOWS\system32\YJNCDMj.exe,
D:\WINDOWS\system32\Qzdz6NN.exe,
D:\WINDOWS\system32\DHK2XSH.exe,
D:\WINDOWS\system32\20qd4gg.exe,
D:\WINDOWS\system32\RzmmQRN.exe,

пришлите на адрес [email protected]
===

1. убить процесс F:\Users\Латушкины\Desktop\svcgoost.exe
2. пофикстить в hj строку
O4 - HKLM\. .\Run: [ATI Helper] F:\Windows\svcgoost.exe
3. переименовать svcgoost.exe в svcgoost.Vexe
4. перегрузить систему,
5. сделать новый лог hj.

логи добавьте на форум:
hijackthis,
SysInspector
лог быстрого сканирования malwarebytes.
(файл хост находится по адресу:
c:\windows\system32\drives\etc\hosts )

обновите торрент до актуальной версии.
http://download.utorrent.com/2.0.1/utorrent.exe

нет, конечно. это настройки фильтрации протоколов. Вы отметили приложения, для которых не будет проверяться трафик. Вам же надо исключить локальные папки, которые вы хотите пропускать при сканировании. Это пунктик на одну строку выше фильтрации протоколов - "Исключения". Вот его и надо заскриншотить. Чтобы было видно, что вы действительно что-то исключаете из сканирования и мониторинга.

возможно, ошибки в таблице маршрутов. обычно активных маршрутов немного, у вас же огромный список был.