Mssvcc.exe (Backdoor.Win32.IRCBot.oz) и lup.exe. Немного мешают жить вредным трафиком.

[falc]

Цитата (Lamo) »

тут подробно описано hттp://it-comp.net.ru/index.php?dn=news&re=print&id=177

Цитата (Lamo) »

hттp://forum.winsov.ru/index.php?act=ST&f=13&t=1175

тут так речь вообще о вирусе. У меня на компе подобный, лечится не желает. две проги lup.exe и mssvcc.exe подгружаются при загрузке и начинают непрерывно слать исходящий трафик. Если данная ссылка о том, что через Stop : 0x0000008E проявляется все что угодно, ИМХО это и так понятно...

[Lamo]

Цитата (falc) »

У меня на компе подобный, лечится не желает. две проги lup.exe и mssvcc.exe подгружаются при загрузке и начинают непрерывно слать исходящий трафик.

Выбери что больше нравится
hттp://www.trendmicro.com/vinfo/virusencyclo/default2.asp?m=q&virus=mssvcc%2Eexe&alt=mssvcc%2Eexe
и прочти
hттp://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FRBOT%2EDLE&VSect=T
hттp://virusinfo.info/archive/t-4895.html

[falc]

Lamo
спасибо

falc добавил :

Run вычишать это я делал, а вот в runservices чего-то не догадался залезть. Ну и DCOM для кучи включил. mssvcc.exe имеет ключ типа msconfig38, а lup - service23

[falc]

Fakir
Речь была про червя что висит в моей системе. Ничем не вредит толко засылает кучу вредного трафика в Инет..

[Fakir]

falc Вопрос, что этот червяк у тебя делает, если ты знаешь, что он у тебя сидит?

[falc]

Fakir
Этот червяк меня практически не напрягает. Способностью к размножению вместе с переносимой инфой с моего компьютера не обладает. Просто перед запуском Инета - нужно нажать alt+ctrl+delete и завершить два процесса вот и весь гемморой.

[Keper]

Цитата (falc) »

Просто перед запуском Инета - нужно нажать alt+ctrl+delete и завершить два процесса вот и весь гемморой.

а не проще его убить, чем так гемороиться?

[falc]

Keper
Да лень Но уломал. Теперь еще придется тему отсюда выделять. Тем и займусь...

Цитата (http://virusinfo.info/archive/t-4895.html) »

C:\WINDOWS\System32\mssvcc.exe
mssvcc.exe - Backdoor.Win32.IRCBot.oz

Стало быть по Ирке словил червя...

Проблема решена.
Для этого
1) alt+ctrl+delete - завершить два процесса lup и mssvcc
2) Вручную удален lup.exe откду-то из document and settings
3) Вручную удалены lup.exe и mssvcc.exe из %SystemRoot\System32 . В процессе ручного поиска NOD32 AMON находил несколько зараженных файлов, удалял, они повялялись под другими названиями и другим названием вируса по NOD32. При том NOD32 lup.exe и mssvcc.exe за зараженные не считал
4) Проверена директория %SystemRoot\System32 с помощью сканера NOD32 - ничего не обнаружено
5) Вычещены ключи реестра msconfig38 и service23 (могу ошибаться в цифрах названий, но они одни там такие) в разделах HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Два раза перезагрузился для пробы - процессы lup и mssvcc больше не проявляются.
PS База NOD32 от 19 апреля сего года (версия 1.1497)

[falc]

Выделено из синий экран смерти

[Keper]

Цитата (falc) »

PS База NOD32 от 19 апреля сего года (версия 1.1497)

напомнил упоминанием о бызах особенность последних выпусков еженедельных обновлений баз Касперского - выпуски плавно скатились с положенной пятницы уже на вторник, пора им руководства ручных обновлений переписывать ))

[falc]

Keper
NOD32 обновляется каждый рабочий день. А KAV - не люблю я его...

[falc]

проблема проявилась снова после включения компьютера с утра.

[Stroom]

Цитата (falc) »

проблема проявилась снова после включения компьютера с утра.

ну знаешь ли... а всё ли ты сделал для обезвреживания?

Цитата

Log on as Administrator.
Right-click the My Computer icon on the desktop and click Properties.
Click the System Restore tab.
Select Turn off System Restore.
Click Apply > Yes > OK.
Continue with the scan/clean process. Files under the _Restore folder can now be deleted.
Re-enable System Restore by clearing Turn off System Restore.

Это делал?
Пускал антивирус из сейф моде? Теперь еще раз внимательно пройдись по ссылкам, что дала Lamo и пункт за пунктом...
Дальше, понятно, что к СПакам ты видимо плохо относишься, но хотя бы основные заплатки поставил. для начала установи хотя бы MS05-039 (именно через это большинство из семейства вин32.иркботов лезет) , да и еще парочку не мешало б. Ну это хозяйское дело впрочем

[falc]

Цитата (stroom) »

Log on as Administrator.
Right-click the My Computer icon on the desktop and click Properties.
Click the System Restore tab.
Select Turn off System Restore.
Click Apply > Yes > OK.

это сделано давно по умолчанию

Цитата (stroom) »

MS05-039 (именно через это большинство из семейства вин32.иркботов лезет)

Я не пользуюсь иркой... А что за патч?

Цитата (stroom) »

Ну это хозяйское дело впрочем

Это верно, тем более что червь не особо напрягает... Сейчас проявилась еще одна проблема, на пустом месте. Программа-будильник вместо корректной работы выдает BSOD IRQ_LESS_OR_NOT_EQUAL (обычно глюк памяти)... Баг на моей машине обычно провлялся при недостаточно хорошем включении дополнительной кэши (Thorton->Barton). Но сейчас... Не знаю, оба бага - вполне не напрягающие, но решать думаю первым делом с переустановки системы, все таки почти два с половиной года стоит, при том весьма нещадно юзалась, наверное пора...

По поводу ссылок, что давала Lamo - конкретной инструкции нигде не увидел.

PS Вполне вероятно что на третей загрузке вирус проявился снова, так как тлько после второй перезагрузке вылезал в Инет. Т.е. вполне возможно что в системе стоит какая-то фигня выкачивающая червя из Интернета.

[Stroom]

Цитата (falc) »

конкретной инструкции нигде не увидел

а если пройтись по вкладкам с загадочным названием "solution"? WORM_RBOT.DLE вот это оч похоже на твоего.

Цитата (falc) »

это сделано давно по умолчанию

ясно. И все-таки одного имхо важного ты так и не сделал. Систему оставил полную дыр. Это все равно, что плыть на дырявой лодке по реке, и вместо того что б залатать дырки вычерпывать воду ковшом. Вот, у тя тож самое . Тебе еще с червем повезло, т.к.

Цитата (falc) »

не особо напрягает

, а в сети ведь и пострашнее есть.

Цитата (falc) »

стоит какая-то фигня выкачивающая червя из Интернета.

да-да, и имя этой фигне винда, vulnerabilities которой как магнит притягуют всю грязь с инета ... хотя, попробуй пройтись по системе ещё rootkit hook analyzer'ом, обрати внимание на всё, что выделено красным

[falc]

Цитата (stroom) »

да-да, и имя этой фигне винда, vulnerabilities которой как магнит притягуют всю грязь с инета

Да и чем меньше всего в винде тем лучше, посему 98-й рулит

Цитата (stroom) »

хотя, попробуй пройтись по системе ещё rootkit hook analyzer'ом, обрати внимание на всё, что выделено красным

Спасибо, попробую.

Цитата (stroom) »

а если пройтись по вкладкам с загадочным названием "solution"? WORM_RBOT.DLE вот это оч похоже на твоего.

Вроде смотрел, сейчас пойду по новой. Но заранее скажу, что патчи к винде буду ставить только в крайнем случае.

Читал
http://www.trendmicro.com/vinfo/viru...2EDLE&VSect=Sn
это выполнено полностью за исключением установки патчей. А вот порт 6667 сейчас закрою, все таки второй раз читать бывает полезно

falc добавил :

Хотя все таки решил поставить WindowsXP-KB835732 это который по ссылке от Microsoft Security Bulletin MS04-011

falc добавил :

Опять сделал все что и раньше, поставил еще патч WindowsXP-KB835732, после чистки вируса. перезагрузился - вируса нет, посидел долго в Инете, снова перезагрузился - тоже вроде нет. Наверное решил все таки проблему

falc добавил :

Отличие в том, что NOD32 ничего не обнаружил.

[Stroom]

Цитата (falc) »

Хотя все таки решил поставить WindowsXP-KB835732 это который по ссылке от Microsoft Security Bulletin MS04-011

5+ и поздравлям-с кстати с победой над злым врагом!

[Lamo]

falc
странное у тебя чувство юмора однако... СП из принципа не ставим...
фаер не иначе как по религиозным соображениям не держим... вирусы не лечим..

[falc]

Цитата (Lamo) »

странное у тебя чувство юмора однако... СП из принципа не ставим...

У меня есть на то субъективные причины.

Цитата (Lamo) »

фаер не иначе как по религиозным соображениям не держим...

Иногда ставлю, потом сношу...

Цитата (Lamo) »

вирусы не лечим..

Лечим, лечим

[siBEERian]

falc мазохист!!!