Прикрепленные файлы:
-
report_second_comp.rar 6,06К
103 Скачано раз
Какая-то программа постоянно ищет выход в интернет
Автор
Albert7788
, дек 30 2008 07:05
5 ответов в этой теме
#1
Albert7788
-
- Posters
- 25 Сообщений:
Newbie
Отправлено 30 Декабрь 2008 - 07:05
Какая-то программа постоянно ищет выход в интернет. Отправляю отчеты со второго компа. Я пока ничего сам не предпринимал, чтобы сохранить полноту картины для анализа.
#2
headliner
-
- Members
- 547 Сообщений:
Advanced Member
Отправлено 30 Декабрь 2008 - 07:44
На анализ это:Какая-то программа постоянно ищет выход в интернет. Отправляю отчеты со второго компа. Я пока ничего сам не предпринимал, чтобы сохранить полноту картины для анализа.
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\cidaemon.exe
C:\WINDOWS\System32\CSRCS.EXE
C:\WINDOWS\System32\DRIVERS\srv.sys
C:\WINDOWS\System32\DRIVERS\rdpdr.sys
C:\WINDOWS\System32\DRIVERS\psched.sys
Это фиксить хайджеком, и проверить появятся ли после перезагрузки
O1 - Hosts: 202.165.102.205 972.aksjd11.com
O1 - Hosts: 202.165.102.205 w3og.cn
O1 - Hosts: 203.208.35.100 qazc.fourtw.cn
O1 - Hosts: 203.208.35.100 www.aujoy.cn
O1 - Hosts: 203.208.35.101 www.hao601.cn
O1 - Hosts: 203.208.35.101 www.psp476.cn
O1 - Hosts: 72.14.235.99 222.1212l112.net
O1 - Hosts: 72.14.235.99 444.1212l112.netn
O1 - Hosts: 72.14.235.99 555.1212l112.net
O1 - Hosts: 72.14.235.99 111.1212l112.net
O1 - Hosts: 65.55.21.250 111.3243l24.com
O1 - Hosts: 65.55.21.250 222.3243l24.com
O1 - Hosts: 65.55.21.250 333.3243l24.com
O1 - Hosts: 125.64.8.112 kao2.gmwo03.com
O1 - Hosts: 125.64.8.112 kao.gmwo06.com
O1 - Hosts: 125.64.8.112 444.gmwo07.com
O1 - Hosts: 116.252.185.15 ru.update365.us
O1 - Hosts: 116.252.185.15 ad.update365.us
O1 - Hosts: 207.46.232.182 popmails.net
O1 - Hosts: 203.208.37.99 3.goodhh.com
O1 - Hosts: 220.181.37.55 down.rwixr.com
O1 - Hosts: 160.79.42.52 www.xdj2008.com
O1 - Hosts: 63.175.76.152 www.revtr.cn
O1 - Hosts: 219.133.40.91 qq.ljsll.com
O1 - Hosts: 203.208.35.102 www.aassccwe.cn
O1 - Hosts: 209.132.177.50 973.aksjd11.com
O1 - Hosts: 209.132.177.50 974.aksjd11.com
O1 - Hosts: 209.132.177.50 971.aksjd11.com
O1 - Hosts: 209.132.177.50 975.aksjd11.com
O1 - Hosts: 72.14.235.104 user1.12-39.net
O1 - Hosts: 72.14.235.147 www.infomt.net
O1 - Hosts: 192.150.18.101 ata1.sysions.net
O1 - Hosts: 192.150.18.101 ata2.sysions.net
O1 - Hosts: 192.150.18.101 ata3.sysions.net
O1 - Hosts: 192.150.18.101 ata4.sysions.net
O1 - Hosts: 193.120.42.226 8nnnnn99.cn
O1 - Hosts: 24.39.54.34 www.haoaoao.cn
O2 - BHO: zywlcime.dll - {37A924AF-1A5F-CF21-AB1D-1D5CF82A8A73} - C:\windows\System32\zywlcime.dll (file missing)
O2 - BHO: tisqctyu.dll - {38093456-9012-4568-9076-908765467183} - C:\windows\System32\tisqctyu.dll (file missing)
O2 - BHO: zycbdime.dll - {4A698102-5904-AFD0-20DF-CD1A65829CA4} - C:\windows\System32\zycbdime.dll (file missing)
O2 - BHO: mpwdeapi.dll - {55694105-5108-9405-3695-954187462155} - C:\windows\System32\mpwdeapi.dll (file missing)
O2 - BHO: mndhfdwd.dll - {6C648541-1025-9650-9057-6541258720C6} - C:\windows\System32\mndhfdwd.dll (file missing)
O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll (file missing)
O2 - BHO: zyzxjime.dll - {AA59145F-315D-BC23-AC1F-145DF81A34AA} - C:\windows\System32\zyzxjime.dll (file missing)
O2 - BHO: hdf453d.dll - {B629FF4F-ACDB-5C90-A098-FACB3456A26B} - C:\WINDOWS\System32\hdf453d.dll (file missing)
#3
Albert7788
-
- Posters
- 25 Сообщений:
Newbie
Отправлено 30 Декабрь 2008 - 09:53
На анализ это:
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\cidaemon.exe
C:\WINDOWS\System32\CSRCS.EXE
C:\WINDOWS\System32\DRIVERS\srv.sys
C:\WINDOWS\System32\DRIVERS\rdpdr.sys
C:\WINDOWS\System32\DRIVERS\psched.sys
[/quote]
В приложении отчет Хайджека после фикса
На анализ отправлю все кроме C:\WINDOWS\System32\CSRCS.EXE его винда скопировать не дает, говорит занят другим приложением.
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\cidaemon.exe
C:\WINDOWS\System32\CSRCS.EXE
C:\WINDOWS\System32\DRIVERS\srv.sys
C:\WINDOWS\System32\DRIVERS\rdpdr.sys
C:\WINDOWS\System32\DRIVERS\psched.sys
[/quote]
В приложении отчет Хайджека после фикса
На анализ отправлю все кроме C:\WINDOWS\System32\CSRCS.EXE его винда скопировать не дает, говорит занят другим приложением.
Прикрепленные файлы:
-
hijackthis_after_fix.rar 1,73К
55 Скачано раз
#4
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 30 Декабрь 2008 - 10:54
На анализ отправлю все кроме C:\WINDOWS\System32\CSRCS.EXE его винда скопировать не дает, говорит занят другим приложением.
Прочесть
http://wiki.drweb.com/index.php/Скрытые_процессы
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#5
Albert7788
-
- Posters
- 25 Сообщений:
Newbie
Отправлено 30 Декабрь 2008 - 12:46
На анализ отправлю все кроме C:\WINDOWS\System32\CSRCS.EXE его винда скопировать не дает, говорит занят другим приложением.
Прочесть
http://wiki.drweb.com/index.php/Скрытые_процессы
Спасибо, чтение помогло на этот раз.
#6
headliner
-
- Members
- 547 Сообщений:
Advanced Member
Отправлено 30 Декабрь 2008 - 14:28
Тогда обязательно пошлите этот файл аналитикам сюда http://vms.drweb.com/sendvirusНа анализ отправлю все кроме C:\WINDOWS\System32\CSRCS.EXE его винда скопировать не дает, говорит занят другим приложением.
Прочесть
http://wiki.drweb.com/index.php/Скрытые_процессы
Спасибо, чтение помогло на этот раз.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
