[Telepuzik]

Похоже на вот этого червя. Советую проверить не остались ли какие нибудь файлы которые создает червь.

[RAY]

Цитата:

Похоже на вот этого червя.

В десятку, это именно он. Спасибо.

[Sergey60]

При подключении к интернет стапо периодически выскакивать окно:

Cooбщeниe oт SYSTEM для ALERT нa 26.11.2006 0:13:14
STOP! WINDOWS REQUIRES IMMEDIATE ATTENTION.
Windows has found CRITICAL SYSTEM ERRORS.
To fix the errors please do the following:
1. Download Registry Cleaner from: www.set32.com
2. Install Registry Cleaner
3. Run Registry Cleaner
4. Reboot your computer
FAILURE TO ACT NOW MAY LEAD TO DATA LOSS AND CORRUPTION!

KIS на это никак не реагирует. Один раз только сработала защита, но ни вылечить не переместиь он не сумел. В разделе "Обнаружено" запись:

потенциально опасное ПО Trojan.generic Процесс: C:\WINDOWS\System32\recsl.exe
В папке System32, recsl.exe я не нашёл. Запускал KIS на полную проверку "Мой комп"- всё чисто.
Dr.Web даёт тот-же результат. Оба антивирусника с последними обновлениями.
Где-то я про эту дуриловку читал. Наверное троян маскируется под какой-то процесс. Как его победить?
Окно продолжает выскакивать.

[MadMaks]

Sergey60
Похоже вам просто пытаются впарить трояна, под видом новой версии Registry Cleaner.
Вот только домашний адрес Registry Cleaner немного другой я сам им пользуюсь
Так что смотрите через Process Explorer кто именно пытается впарить своего трояна.
А там уже видно будет, что делать дальше.

[Sergey60]

То что один троян пытаеться впарить другого, более солидного я понял сразу.
В System32 файла - mysvcc.exe нет. В реестре ключей таких тоже нет.
Кстати сегодня получил мэйл спамовский с вложением (давно таких не получал). KIS его проигнорировал. Я его удалил не открывая. В инете был минут 30, окно не выскакивало.
Затаился гад. В крайнем случае Винду из образа восстановлю, но интересно его побороть! Вобщем будем посмотреть!

[Vovchick1]

Sergey60

Цитата:

Cooбщeниe oт SYSTEM для ALERT нa 26.11.2006 0:13:14 STOP! WINDOWS REQUIRES IMMEDIATE ATTENTION. Windows has found CRITICAL SYSTEM ERRORS. To fix the errors please do the following: 1. Download Registry Cleaner from: www.set32.com 2. Install Registry Cleaner 3. Run Registry Cleaner 4. Reboot your computer FAILURE TO ACT NOW MAY LEAD TO DATA LOSS AND CORRUPTION!

Мне точно такоеже сообщение приходило, я вырубил службу сообщений и больше не появлялось.

[Borodunter]

Vovchick1

Цитата:

Мне точно такоеже сообщение приходило, я вырубил службу сообщений и больше не появлялось.

а если вырубить антивирусник, то еще много каких предупреждений не будет появляться
я все-таки думаю, что надо изничтожать источник проблемы, а не прятаться от нее

[Vovchick1]

Borodunter

Цитата:

а если вырубить антивирусник, то еще много каких предупреждений не будет появляться

Собственно Каспер мне при этом тревогу не бил!!! Так что вырубай, не вырубай мало что измениться!!!
Но если посмотреть с другой стороны, просто так не чего не бывает!!! Так что я с тобой согласен, разобраться нужно.

Цитата:

я все-таки думаю, что надо изничтожать источник проблемы, а не прятаться от нее

Я тоже так считаю, но вот самого источника я так и не нашёл!!! Ни каспером ни нортаном, вот и решил что дело именно в службе ообщений.

[Sergey60]

Удалил всё с системного диска, отформатировл. Загрузился с образа (100% без вирусов). Дня 3 работал в итернете без проблем, и тут тоже самое.

KIS обнаруживает вирус , пишет что удалить не может (хотя потом выясняется что удалено: троянская программа Backdoor.Win32.Small.eo), тут же

ещё один, снова не удаляется, предлагает сделать откат внесённых изменений, откат сделать не удалось. И снова постянно выскакивает это окно

с предложением загрузить Registry Cleaner.

Более подробно (отчёт KIS):

Защита
------
Всего проверено: 2091
Обнаружено: 2
Не обработано: 0
Заблокировано атак: 0
Запуск: 03.12.2006 21:38:45
Длительность: 00:33:50
Обнаружено

удалено: троянская программа Backdoor.Win32.Small.eo Файл: C:\WINDOWS\system32\.exe/PE_Patch/MEW
обнаружено: потенциально опасное ПО Trojan.generic Процесс: C:\WINDOWS\System32\recsl.exe
События
-------
Время Событие
----- -------
03.12.2006 14:08:55 Сигнатуры угроз устарели.
03.12.2006 16:25:28 Обновление успешно завершено.
03.12.2006 16:55:08 Попытка процесса с PID 3284 получения доступа к процессу Kaspersky Internet Security 6.0 с PID 1368 была заблокирована. Это

результат срабатывания механизма самозащиты.
03.12.2006 16:55:11 Попытка процесса с PID 3284 получения доступа к процессу Kaspersky Internet Security 6.0 с PID 1832 была заблокирована. Это

результат срабатывания механизма самозащиты.
03.12.2006 21:43:33 Файл C:\WINDOWS\system32\.exe/PE_Patch/MEW, обнаружено: троянская программа Backdoor.Win32.Small.eo
03.12.2006 21:43:34 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.
03.12.2006 21:44:17 Процесс C:\WINDOWS\System32\recsl.exe, обнаружено: потенциально опасное ПО Trojan.generic (модификация)
03.12.2006 21:44:21 Файл C:\WINDOWS\system32\.exe удален.
03.12.2006 21:44:25 Процесс C:\WINDOWS\System32\mysvcc.exe (PID 228) успешно завершен.
03.12.2006 21:44:37 Откат не выполнен.
03.12.2006 21:44:37 Процесс C:\WINDOWS\System32\recsl.exe, обнаружено: потенциально опасное ПО Trojan.generic (модификация)
03.12.2006 21:44:42 Процесс C:\WINDOWS\System32\mysvcc.exe (PID 228) успешно завершен.
03.12.2006 21:44:48 Откат не выполнен.

Отчеты
------
Компонент Статус Начало Окончание Размер
--------- ------ ------ --------- ------
Анти-Хакер работает 03.12.2006 21:38:45 0 б
Анти-Шпион работает 03.12.2006 21:38:51 0 б
Анти-Спам работает 03.12.2006 21:38:51 0 б
Почтовый Антивирус работает 03.12.2006 21:38:51 0 б
Веб-Антивирус работает 03.12.2006 21:38:51 18.2 КБ
Проактивная защита работает 03.12.2006 21:38:51 29.2 КБ
Файловый Антивирус работает 03.12.2006 21:38:51 383.8 КБ
**************************************************************************************************** **************************************************************************************************
Полная проверка Мой компьютер. Как и в прошлый раз ничего не обнаружено. Службу оповещений отключить конечно можно, но зараза то

осталась! Т.к. наблюдалась передача инфы на мой комп при нулевой моей активности! KIS молчал.

Сведения по этим вирусам на www.viruslist.ru:

Backdoor.Win32.Small.eo
Другие версии: .cz, .fp, .v
Другие названия
Backdoor.Win32.Small.eo («Лаборатория Касперского») также известен как: Exploit-DcomRpc.g.gen (McAfee), W32.Wallz (Symantec),

BackDoor.Restrict (Doctor Web), W32/Hwbot-A (Sophos), BKDR_SDBOT.GAA (Trend Micro), BDS/Small.EO (H+BEDV), BackDoor.Small.27.AQ (Grisoft),

Backdoor.Small.EO (SOFTWIN), Bck/Small.HI (Panda) Детектирование добавлено 22 мар 2005
Обновление выпущено 25 мар 2005 13:36 MSK
Описание опубликовано 08 апр 2005
Поведение Backdoor, троянская программа удаленного администрирования
Технические детали
Троянская программа, предоставляющая злоумышленнику удаленный доступ к компьютеру. Файл программы обычно называется HWCLOCK.EXE и

имеет длинну около 7КБ.
Для обеспечения доступа подключается к IRC-каналу и ждет команд удаленного пользователя. По команде может скачавать другие (троянские)

программы, а также, используя одну из сетевых уязвимостей MS Windows, может попытаться проникнуть на другие машины в сети.
Регистрируется в системе как сервис:
Service name:
hwclock
Display Name:
Hardware Clock Driver
Service Description:
Enables a computer to save and restore system time information using the
hardware clock. Stopping or disabling this service will result in system instability.
Создает ключи реестра:
[HKLM\software\microsoft\ole]
"enabledcom"="n"
[HKLM\system\currentcontrolset\control\lsa]
"restrictanonymous"="1"
Содержит строки:
symantec.loves.the.cock.pheer.biz
owjgp.game2max.net

Данных ключей в реестре нет.
Потенциально опасное ПО Trojan.generic Процесс: C:\WINDOWS\System32\recsl.exe Этот процесс мной не обнаружен.
Вот такой хвалёный KIS. Думаю переходить на Outpost Firewall Pro в связке с другим антивирусом.

[Sergey60]

Так как в Windows я не силён, просто укажу что есть в реестре и процессах

[HKLM\software\microsoft\ole]"enabledcom"="n"по-умолчанию ="Y" - "Y"
[HKLM\system\currentcontrolset\control\lsa]"restrictanonymous"="1"по-умолчанию="0" - "0"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] - Пo yмoлчaнию Знaчeниe пo yмoлчaнию нe пpиcвoeнo
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] - Пo yмoлчaнию Знaчeниe пo yмoлчaнию нe пpиcвoeнo

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:
Cmaudio RunDll32 cmicnfg.cpl,CMICtrlWnd
kis "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
CTHelper CTHELPER.EXE
UpdReg C:\WINDOWS\UpdReg.EXE
Jet Detection "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
FinePrint Диcпeтчep v5 "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /runonce
Пo yмoлчaнию

Процессы:

MsPMSPSv.exe SYSTEM 00 1 644 КБ
UIWatcher.exe Cepж 00 4 388 КБ
PS.EXE Cepж 00 4 984 КБ
WDFMGR.EXE LOCAL SERVICE 00 1 796 КБ
ChamClock.exe Cepж 00 10 260 КБ
CTHELPER.EXE Cepж 00 5 060 КБ
AVP.EXE Cepж 00 4 424 КБ
SVCHOST.EXE SYSTEM 05 3 948 КБ
AVP.EXE SYSTEM 00 2 176 КБ
ATI2EVXX.EXE SYSTEM 00 1 980 КБ
ALG.EXE LOCAL SERVICE 00 4 236 КБ
SPOOLSV.EXE SYSTEM 00 8 184 КБ
EXPLORER.EXE Cepж 00 21 172 КБ
K-MANIA.EXE Cepж 00 4 048 КБ
taskmgr.exe Cepж 00 3 332 КБ
SVCHOST.EXE LOCAL SERVICE 00 3 824 КБ
SVCHOST.EXE NETWORK SERVICE 00 1 872 КБ
SVCHOST.EXE SYSTEM 00 18 200 КБ
WinStylerThemeS... SYSTEM 00 4 072 КБ
SVCHOST.EXE SYSTEM 00 2 896 КБ
NOTEPAD.EXE Cepж 00 3 820 КБ
LSASS.EXE SYSTEM 00 2 164 КБ
SERVICES.EXE SYSTEM 00 3 468 КБ
WINLOGON.EXE SYSTEM 00 1 052 КБ
CSRSS.EXE SYSTEM 00 3 868 КБ
SMSS.EXE SYSTEM 00 372 КБ
System SYSTEM 02 252 КБ
Бeздeйcтвиe cиc... SYSTEM 92 20 КБ

Просканировал систему в безопасном режиме,восстановление системы выключено. Всё чисто.

А сегодня обратно тех-же троянов словил. Вот отчёт KIS:

Обнаружено
----------
Статус Объект
------ ------
удалено: троянская программа Backdoor.Win32.Small.eo Файл: C:\WINDOWS\system32\.exe/PE_Patch/MEW
обнаружено: потенциально опасное ПО Trojan.generic Процесс: C:\WINDOWS\System32\recsl.exe
обнаружено: потенциально опасное ПО Trojan.generic Процесс: C:\WINDOWS\System32\salvage.exe
удалено: троянская программа Backdoor.Win32.SdBot.awk Файл: C:\WINDOWS\system32\recsl.exe
удалено: троянская программа Backdoor.Win32.Rbot.bjp Файл: C:\WINDOWS\system32\salvage.exe

Какой гад мне их постоянно грузит?