Собственно subj.
Пытается по 25-му порту что-то от себя рассылать...
Собственно subj.
Пытается по 25-му порту что-то от себя рассылать...
Последний раз редактировалось vgm; 28.03.2011 в 20:03.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteService('srservice'); QuarantineFile('srservice.sys',''); QuarantineFile('C:\WINDOWS\system32\jqrlosox.dll',''); QuarantineFile('C:\WINDOWS\system32\Drivers\atapidrv.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\atapidrv.sys'); DeleteFile('%system32%\srservice.sys'); DeleteFile('srservice.sys'); BC_DeleteSvc('srservice'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Прокси Ваши? -
Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.254:3128
Карантин выложил.
Отключить восстановление системы не смог -- все время выдавало ошибку
Поэтому еще раз сделал все сканикование после лечения заново.
Проха моя
Последний раз редактировалось vgm; 28.03.2011 в 20:03.
Выполните скрипт
Большего плохого не видно.Код:begin DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}'); end.
Обновите Internet Explorer.
Paula rhei.
Поддержать проект можно тут
Скрипт выполнил. IE обновил.
Вот новые результаты сканирования (может, что-то осталось или новое прицепилось).
Последний раз редактировалось vgm; 28.03.2011 в 20:03.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\jqrlosox.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll'); RebootWindows(true); end.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Перед тем как это делать, подскажите плз, где в реесте надо выключить восстановление системы. Думаю, что из-за этого дллелька осталась неубитой.
Кстати, попытки отослать по почте прекратились.
Последний раз редактировалось vgm; 04.02.2011 в 11:05.
Ответа на свой пост так и не дождался.
Выкладываю новые файлы проверки.
Последний раз редактировалось vgm; 28.03.2011 в 20:03.
Ничего подозрительного больше не видно.
I am not young enough to know everything...
Спасибо. Тему можно закрывать
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\atapidrv.sys - Packed.Win32.Krap.if ( DrWEB: Trojan.NtRootKit.6671 )
- c:\\windows\\system32\\jqrlosox.dll - Trojan-Dropper.Win32.Drooptroop.jmj ( DrWEB: Trojan.Packed.21244, BitDefender: Trojan.Generic.5160281, AVAST4: Win32:Malware-gen )
Уважаемый(ая) vgm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.