Проблем с вирус - Помощ

[get]

Здравейте.

Лепнала се е някаква проклета гнида и не знам как да премахна.
Заразения процес е services.exe - щом се стартира мрежата и започва да праща към различни айпи адреси много заявки /портове 25 и 80/

Пробвах да го изчистя със следните програми:
autoruns
hijackthis
Spybot S&D
NOD32
в същата последователност ги пусках.
от autoruns и hijackthis премахнах някои съмнителни полета, но уви нямаше ефект
Spybot намери основно tracing cookies и едно .exe, NOD32 & F-prot - нищо!

Направих два лога от autoruns и hijackthis
autoruns и hijack

дайте съвет

Благодаря !

[recycled_bin]

пробвай с нещо онлайн да го изчистиш, примерно http://www.kaspersky.com/virusscanner

[dash]

... ili housecall.trendmicro.com

[get]

Пуснах онлайн Касперски, вероятно чак сутринта ще има отговор.

А това е по-пълен лог на startup от hijackthis
http://get-freaky.net/tmp/hijack-startup.txt

[Black Adder]

такива буби най-добре се чистят като заредиш система от LIVE CD, иначе каквото и да правиш, си остава активна част и пак се зарежда наново след рестарта.

[get]

Okay... ще заредя от някое бутващо цд, а после?

Мисля, си че нещата отиват към формат, колкото и да не ми се иска.
Поне името да му хвана за да го изтрия от регистрито.

Пуснах едно rootkit revealer или нещо такова, то сканира сканира и намери разлики в някое редове в регистрито. Като пробвах да отворя пътя от regedit.32 (мисля, че в името съдържаше pe386) каза, че не е достъпно.

Направо.... Ужас !

[ru-boy]

Не се излагай, формат в никой случай.
Има една програма антивирусна, нарича се Avast, тя има една много унукална за антивирус фуннкция, а именно да проверява за гниди в специален защитен режим. От едно време е ясно правилото "гарантирано чиста и механично защитена дискета", че който се зареди първи (демек гнидата или антивируса) той командва парада. Е, затова Аваста си има функция да се зарежда в специален режим преди операционната система, или поне преди основните модули и проверява за гадини и ги чисти със завиден успех, какъвто НОД може само да мечтае.
Пробва ли и с Hiren's Boot CD с един или и с двата антивируса в него? Май последната версия е 9.2.
http://kal.data.bg/Programs/Hirens%20BootCD/Hirens%20BootCD%209.2%20(kaldata.com).rar
Там има и набор програми за унищожаване на гадини, които съвсем не са за пренебрегване.

[get]

Сложих Аваст, започна да сканира преди Уиндоус да е заредил, но нищо не намери.
Сега пуснах McAfee от бутващото цд, но едва ли ще има ефект.
Мисля, че вируса отваря порт 1025 tcp & udp.

Мога ли ръчно да забраня портовете ?
Отделно има пуснат fw, който е на Уиндоуса.

[get]

В крайна сметка се стигна до формат !
Все пак ми е интересно ако се появи някаква информация за вируса.

Надявам се никой да си НЯМА работа с него :-)

[get]

Тоя вирус май плъзва по мрежата....

В Unix има tcpdump, как да го пусна да дъмпва по чужди айпи адреси?
Или някакъв друг метод, с който евентуално да хвана, че хвърчат доста пакети от някое айпи?

[MitkoS]

Ти кажи първо, как разбра, че:

... Заразения процес е services.msc ...

Бързо си признавай !!! Бързо ! Бързо !

[Black Adder]

и нали качваш XP SP2? Да не се окаже някой прастар вирус от рода на Sobig или Sasser

[get]

Как разбрах, че е services.exe ?
cmd -> netstat -bna
там се вижда, че 90% от заявките идват от services.exe
Windows XP Pro Sp2 + AutoPatcher May/June 2007 - беше

По принцип преди това бях пуснал няколко утилки от сайта на Симантек - за Sober, MyDoom и още където не и помня името.
A сега бълва трафик и немога да го хвана от къде...

[MitkoS]

Ааа, не увъртай,
по-горе си написал services.msc

[get]

Пфууу... съжалявам за грешка по-горе
поправих го