Доброй ночи!
Вроде бы была другая тема, в которой писалось про файл nssm.exe, но на данный момент найти её не могу, т.к. проблемы схожие пишу сюда.
Проблема: блокируется интернет, после того как в диспетчере задач появился процесс nssm.exe. Он же прописывается в автозагрузку. После удаления, через некоторое время появляется опять... Вместе с nssm.exe в диспетчере задач появляются стандартные виндовые процессы cmd.exe и ftp.exe. А в папке system32 появляется файлик et (без расширения) в содержимом ссылка на ftp ресурс, пароль для входа и запрос на скачивания nssm.exe (если можно, могу запостить содержимое в чистом виде). Имхо, что-то запускает через стандартные службы cmd.exe и ftp.exe запрос et, который скачивает nssm.exe, а тот уже блокирует интернет (наверно, делает и что-то еще, не может быть чтобы такая хитрость была только для блокировки инета...) У меня KIS2009, время от времени он определяет nssm.exe (сменилось уже 4 имени, на данный момент определяется как Backdoor.Win32.IRCBot.mwc) в момент загрузки и блокирует его, но попытки загрузки продолжаются. Отправлял nssm Касперскому, ответ пришел - файл поврежден, но истоки проблемы явно не в данном файле, а в том что его загружает. Пытался искать файлы указанные в скриптах для Avz (в этой теме или в похожих темах), ничего подобного не нахожу у себя (скрипты не выполнял, т.к. не уверен, что они универсальны). Помогите, пожалуйста, разобраться, да и судя по глобальному поиску в инете проблема так и не решена... Спасибо. Присоединяю логи и отчет с virusinfo.info:

Архив 091030_004614_virusinfo_files_COMP-BOBS_4aea0d26cc444.zip, загружен 30.10.2009 1:00:25, размер 25250039 байт
Всего файлов: 37 (исполняемых 33), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 0
В очереди на добавление в базу безопасных:
высокий приоритет: 10
обычный приоритет: 27

Выполните скрипт в avz

ПК перезагрузится.

Выполнить скрипт в AVZ.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи.

Спасибо.
Карантин отправил, пока ответа нет.
Логи присоединяю.

чисто.Проблема осталась ?

Проблема осталась. За вечер два раза KIS2009 блокировал закачку nssm.exe. При этом после первого раза я в пресловутом файле et поменял адрес фтп-шника, с которого скачивается nssm, через некоторое время еt обновился и KIS заблокировал процесс nssm. Карантин отправленный Касперскому вернулся, архив с карантином весит почти 30 мб, грит не влезает к ним в почту. Как лучше поступить: разбить на кучу отдельных архивчиков мегов по пять или разбить данный архив на парты, чтобы в итоге собирались в один архив??? Прикрепляю сегодняшние вечерние логи.

Выполните скрипт в AVZ
Компьютер перезагрузится.

Выполнить скрипт в AVZ.
quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи + отчет утилиты GSI (ссылка в моей подписи)

Скрипты выполнил, спасибо! Карантин отправил Касперскому, ответа пока нет...
Пока делал новые логи KIS2009 два раза заблокировал запуск nssm:-):-( Название заблокированного трояна опять поменялось... Что же это за зараза такая??? Новые логи присоединяю, плюс ссылка на протокол GetSysInfo http://www.getsysteminfo.com/read.php?file...3ef0b066b0015ef ...

Удалите NVIDIA ForceWare Network Access Manager

Обновите версию KIS2009 до 8.0.0.506
Установите Adobe Acrobat 9.1 или удалите старый
Обновите JavaRE

Ответ Касперского: "LIBMYSQL.dll1 Вредоносный код в файле не обнаружен."



Последовал Вашим инструкциям, только вместо KIS2009, поставил KIS2010. Было это вчера (01.11) вечером, в ночь оставил проверять весь комп Касперским, он нашел две скрытые папки на диске С, удалил их, весь день (02.11) вроде бы проблем не было, а вечером опять возник nssm, KIS2010 его заблокировал, но проблема то видать осталась. Что интересно файл et вроде бы не создавался, либо KIS2010 его сразу сам потер... Проверил новым Касперским все флешки и переносные харды ничего не нашел. Присоединяю последние логи, ссылку на отчет GetSysInfo: http://www.getsysteminfo.com/read.php?file...a5fb051883ffce4 и, на всякий случай, отчет KIS2010...

В логах плохого не видно

На данный момент никаких проявлений nssm не зафиксировано, но буду наблюдать, если что отпишусь в данной теме.
Спасибо за все труды и старания!

Доброй ночи! К сожалению, проблема не решилась. Время от времени nssm пытается скачаться, но KIS2010 пресекает эти попытки (за эти три дня было штук пять попыток, 1 раз KIS2010 дал запуститься nssm'у, а в остальных случаях блокировал), но в чём корень проблемы, что заставляет качать файл nssm совершенно не понятно. Прикрепляю логи, хотя имхо, ничего в них нет. Каким еще образом можно найти этот вирус? Очень не хочется сносить всю систему, тем более не факт, что поможет... А можно ли глобально заблокировать ftp'шник, который указан в файле еt и с которого идет закачка файла nssm???

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, C:\ComboFix.txt прикрепите к сообще-нию.
Примечание: в случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Присоединяю Log CobmoFix'a.

ComboFix убил еще одного зверя. Что с проблемой?

Проблема осталась, была одна закачка вчера (08.11), уже после того как запускал comboFix, и две сегодня (09.11), Касперский все заблокировал, но попытки остаются... Касперский определяет nssm как Net-Worm.Win32.Kolab.eqc или Trojan.Win32.Kreeper.go. Опять присоединять логи?
Вот еще о чем подумал... На компе создано два юзера, оба с админскими правами, все проверки я провожу под одним юзером, имеет ли смысл сделать проверки (логи, комбофикс) и под другим юзером???

Сделайте логи под другим пользователем. Касперский на Вашем компьютере отражает атаки. Если компьютер в локалке, стоит искать заразу в ней, пролечить всю сеть и установить последние обновления для системы.

Присоединяю логи, сделанные под другим пользователем моего ПК. За десятое число опять две блокировки... По поводу атак: локалки у меня нет, в инет хожу через Стрим, атаки были с момента установки еще, наверно, Касперского шестой версии. Время от времени Касперский писал об отражении атаки, я особого внимания не придавал. В общем, атаки были задолго до появления проблемы с nssm.

Ничего плохого

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Все сделал, OTCleanIt ничего не нашел, сам перезагрузил компьютер и удалился. А nssm опять сегодня пытался скачаться...