[riissk]

Судя по всему эта дрянь ищет слова в контексте окна или в запускаемом файле. Если в окне, надо подумать... А если в файле, то ставьте filеmonitor и подсуньте ей файлик с антивирусом, отследите кто после запуска полез в exe и по наглой рыжей морде

[ShaddyR]

riissk: ты оччень внимателен... перечитай сообщение автора №12 .

[riissk]

Да ... новый год не прошёл зря

[IgorK]

Вырубай из автозагрузки то, что написали:
ltmsg.exe,644,1.339.392,C:\WINNT\system32\ltmsg.exe,"20 (Normal)
MSTask.exe,752,3.731.456,C:\WINNT\system32\MSTask.exe,"20 (Normal)
winser.exe,1032,8.069.120,C:\WINNT\system32\winser.exe,"20 (Normal)
GoogleToolbarNotifier.exe,1736,1.425.408,C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\Goog leToolbarNotifier.exe,"20 (Normal)

MSTask.exe - точно вирь.

Остальное указанное - либо сервисы самой Windows, например, служба управления WinMgmt, или доступ к реестру по сети regsvc.exe

А вообще - вырубай из автозагрузки все, лечи, то, что осталось, как правило - нормальные софтины, вроде управления тачпадом, звуком и т.д. т.п. (никогда их не понимал)...

З.Ы. Смотря на даты поста думаю, а не поздно ли :-)

[Blast]

Цитата:

Смотря на даты поста думаю, а не поздно ли

да это ладно, вот если бы еще правильно советовали...

Цитата:

MSTask.exe - точно вирь.

серьезно? а не процесс Планировщика заданий Windows?

Цитата:

Вырубай из автозагрузки то, что написали

ну-ну...
ltmsg.exe - процесс драйвера модема Lucent
MSTask.exe - уже выше говорил
GoogleToolbarNotifier.exe - процесс панели инструментов Google
winser.exe - единственное угаданное, да и то автор темы уже сообщил, что это и был процесс вируса

вот и слушай потом "советов"...

[IgorK]

Эт точно...Список страниц плохо заметен. В одном форуме тут, в другом там. Часто пропускаю.

[Blast]

а я то думаю, что народ постит (просто у меня настроено отображение 20 постов на странице и, соответственно эта тема пока умещается на одной странице)

[DRadmin]

На прошлой неделе столнулись со следующей ситуацией. Благо не в своей сети.
На комне стоит прокся и настроен DNS. Вдруг начались бесконечные запросы DNS и побежал траффик. Посмотрели соседскую сеть, а у них "песня". Касперский полгода не работает, юзверы разводят руками, типа, ну да ключик кончился, бывает. Начинаю искать, что может гнать траффик. Мучаю, мучаю комп, который в той сети считается главным, посмотрела ветки реестра, Автозагрузки, прогнали AdAware, Norton (пришлось установить) - ничего. Поставили сниффер, показывает, что по 25 порту бежит траффик. На файрволе закрыли 25ый порт. Траффик остановился. Но ведь это не решение проблемы...

На следующий день опять возвращаюсь к главному компу, сижу за ним час с открытым 25ым портом - тишина. Врубаю еще один комп из их сети и вот оно! Опять бесконечные запросы DNS и страшные перегрузки на 25ом порту. Заразная машинка оказалась также без антивиря. Установили Norton, обновили базы, прогнали AdAware. Нортон только со второй попытки нашел Trojan.Goldun. Удалил файлик msvcrl.dll и сказал, что комп здоров. Врубаю этот комп обратно в сеть и инет, поначалу тишина, а потооом... Весь экран усыпан проверкой писем, уходящих по 25ому порту (это Нортон работает). Смотрю сниффером и вижу: сначала идет запрос на 64.62.171.141:7711, дальше открывается 25ый порт и поперли письма во все концы света. Причем когда начинаются mail-бомбежки задействован Explorer.exe, т.е. родной виндусовый проводник. Проверяю его на подлинность - от Майкрософт. Дальше сниффер показывает, что после соединения с 64.62.171.141 на некоторое время задействуются процессы: wmiprvse.dll и netsh.exe. Если отрубить explorer.exe, то бомбежки прекращаются. В безопасном режиме меняю explorer.exe на такой же, но с соседнего компа. Не помогает...

Может, кто-то уже победил сей троян и подскажет где искать? Кстати, применяли утилиты по удалению какой-то разновидности этого Goldun'а - не помогает.
Заранее спасибо!

[Access Denied]

Аналогичная ситуация обнаружилась некоторое время назад.
Процесс explorer.exe ломится на порт 17001 следующих IP (возможно выбираются случайно):

64.62.171.141
66.45.232.75
81.95.148.18

В данный момент с машины доступ на шлюзе по этим портам не открыт. Если открыть - начинается рассылка спама по самым разным адресам.
То есть похоже с перечисленных хостов загружаются адреса для рассылки (или собственно письма).

Если кому-то удалось победить - подскажите.
Ad-aware, антивирус ничего не находят. Пробовал смотреть списки автозагрузки утилитой Hijackthis - абсолютно никаких "лишних" вещей.

[DRadmin]

Уважаемый, Access Denied! Знаете? чем все закончилось с этим нечаянным злополучным спам-сервером? Переустанавливали винды. Но до этого были попытки поймать зверя за хвост в течение 8ми часов. Единственный антивирь, отреагировавший на червя был NOD32. Он сказал, что это Spambot, к сожалению, не помню точного названия На работе посмотрю и скажу, если остался листок с распечаткой как его побороть. Никакие рекомендации по этому зверю, найденные в инете, не помогли. Систему снесли и поставили заново. Да! NOD32 всего лишь блокировал попытки червя выйти на "папу". А самого червя так и не нашел и ничего не вылечил!
.
Это точно какая-то новая бяка. Пока она распространяется не очень активно. Люди с зараженного компа говорят, что получили картики от знакомых (прикрепленные файлы) и среди них был этот спам-червь.
.
Как итог могу сказать следующее: обновляйте антивирусные базы!!! Ни в коем случае не закрывайте глаза на то, что каспер или любой другой ругается на лицензии! Кончился антивирь - купите новый или скачайте Но обязательно ра-бо-та-ю-щий!!! Иначе - головная боль!
Удачи!