[решено] Процесс system выполняет ежесекундные запросы к разным IP

Alex1983 · Конфигурация компьютера

Сейчас посмотрим.

Alex1983 · Конфигурация компьютера

Здравствуйте creative84,

Проверьте файл c:\docume~1\$$$\locals~1\temp\_ir_tu2_temp_0\irzip.lmd на Virustotale Ссылку на результат прикрепите в следующем сообщение.

•У вас старая версия HiJackThis ( 2.0.2). Скачайте HiJackThis(2.0.4). Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cwdrive32.exe
F3 - REG:win.ini: load=???
F3 - REG:win.ini: run=???

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 TerminateProcessByName('c:\windows\cwdrive32.exe');
 TerminateProcessByName('c:\windows\system32\msvmiode.exe');
 QuarantineFile('c:\documents and settings\$$$\application data\ltzqai.exe','');
 QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
 QuarantineFile('C:\WINDOWS\cwdrive32.exe','');
 QuarantineFile('C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll','');
 QuarantineFile('C:\Program Files\Common Files\AdobeARMS.exe','');
 QuarantineFile('C:\WINDOWS\system32\48.exe','');
 QuarantineFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP38\A0023999.exe','');
 QuarantineFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP28\A0019066.exe','');
 QuarantineFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP19\A0012703.exe','');
 QuarantineFile('c:\recycler\s-1-5-21-9144973525-0824937566-791162625-6846\syscr.exe','');
 DeleteFile('C:\WINDOWS\cwdrive32.exe');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
 DeleteFile('C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll');
 DeleteFile('c:\recycler\s-1-5-21-9144973525-0824937566-791162625-6846\syscr.ex');
 DeleteFile('c:\documents and settings\$$$\application data\ltzqai.exe');
 DeleteFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP19\A0012703.exe');
 DeleteFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP28\A0019066.exe');
 DeleteFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP38\A0023999.exe');
 DeleteFile('C:\WINDOWS\system32\48.exe');
 DeleteFile('C:\Program Files\Common Files\AdobeARMS.exe');
 DelBHO('{83821C2B-32A8-4DD7-B6D4-44309A78E668}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7'); 
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

Для отмены автозапуска выполните скрипт:

Код:

begin
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end.

Повторите логи.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Внимание:
1. Обновите Windows XP SP 2 до SP3 ссылка по требуется повторная активация.
2. Поменяйте все пароли.

creative84 · Отправлено: **21:29, 10-12-2010** | #4

всё выполнил. посмотрите

iskander-k · Конфигурация компьютера

Удалите все что нашел МБАМ.

Alex1983 · Конфигурация компьютера

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\vdqyndqx.sys','');
 QuarantineFile('C:\Documents and Settings\$$$\Application Data\ltzqai.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
 QuarantineFile('C:\WINDOWS\cwdrive32.exe','');
 QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
 QuarantineFile('C:\DOCUME~1\$$$\LOCALS~1\Temp\219.exe','');
 QuarantineFile('C:\DOCUME~1\$$$\LOCALS~1\Temp\7653.exe','');
 QuarantineFile('C:\DOCUME~1\$$$\LOCALS~1\Temp\8130513.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\jbcbtqy.sys',''); 
 DeleteFile('C:\WINDOWS\system32\drivers\vdqyndqx.sys');
 DeleteFile('C:\Documents and Settings\$$$\Application Data\ltzqai.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\WINDOWS\System32\drivers\jbcbtqy.sys'); 
 DeleteFile('C:\WINDOWS\cwdrive32.exe');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
 DeleteFile('C:\DOCUME~1\$$$\LOCALS~1\Temp\219.exe');
 DeleteFile('C:\DOCUME~1\$$$\LOCALS~1\Temp\7653.exe');
 DeleteFile('C:\DOCUME~1\$$$\LOCALS~1\Temp\8130513.exe');
BC_ImportAll;
ExecuteSysClean;
 BC_QrSvc('nxcskux');  
 BC_DeleteSvc('nxcskux');
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму или на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему и вашим ником(именем на форуме). в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.

Повторите логи.

Что спроблемой?

Обновите Windows XP SP 2 до SP3 ссылка по требуется повторная активация.

creative84 · Отправлено: **17:59, 15-12-2010** | #7

Все выполнил, проблема осталась. Вроде сначала затишье, а потом снова начинается

Alex1983 · Конфигурация компьютера

Цитата Alex1983:

Повторите логи. »

creative84 · Отправлено: **18:55, 17-12-2010** | #9

Логи AVZ

creative84 · Отправлено: **15:15, 18-12-2010** | #10

Откуда то пролазят цифровые exe. Где то, видимо, дыра. Потому что лечишь, удаляешь , а они на след. день снова. SP2 до 3 не обновляю из возможной блокировки.