Есть непонятный входящий и исходящий траффик.
Есть непонятный входящий и исходящий траффик.
Касперский со свежими базами стоит?
Он должен вылавливать эту заразу.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Стоит, не помог(
Уж посетили, так посетили...
Пофиксите с помощью Hijackthis строчки:На время выполнения скрипта, отключите антивирусный монитор и отключитесь от сети.Код:O2 - BHO: Her - {C4DE5B15-4FFE-4c02-8CB3-CAD24A33562B} - C:\WINDOWS\system32\ramtmb.dll O4 - HKLM\..\Run: [System] C:\WINDOWS\wupdsvc7.exe O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\evgen\LOCALS~1\Temp\winlogon.exe O20 - AppInit_DLLs: C:\WINDOWS\system32\syst7r.dll
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=13530 , как написано в прил.3 правил, и повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\wupdsvc7.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys',''); QuarantineFile('C:\WINDOWS\system32\syst7r.dll',''); QuarantineFile('C:\WINDOWS\system32\ramtmb.dll',''); QuarantineFile('c:\docume~1\evgen\locals~1\temp\winlogon.exe',''); DeleteFile('c:\docume~1\evgen\locals~1\temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\ramtmb.dll'); DeleteFile('C:\WINDOWS\system32\syst7r.dll'); DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); DeleteFile('C:\WINDOWS\wupdsvc7.exe'); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); BC_DeleteSVC('protect'); BC_DeleteSVC('FCI'); BC_Importall; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Вот
В карантине пришли:
C:\Documents and Settings\evgen\Local Settings\Temp\winlogon.exe - Trojan-Proxy.Win32.Agent.qq
c:\docume~1\evgen\locals~1\temp\winlogon.exe - Trojan-Proxy.Win32.Agent.qq
(по классификации Касперского)
C:\WINDOWS\wupdsvc7.exe - Trojan.Inject.423 (по классификации Drweb)
Интересно, что на вирустотал многие антивирусы считают его модификацией пинча, поэтому, от греха подальше, лучше поменяйте все пароли, использующиеся на данной машине (на учетные записи пользователей, записи электронной почты, интернет-пейджеры, итд.).
В логах, по-моему, чисто, осталось разобраться с этим:- отключить, что не нужно (на машине, не включенной в локальную сеть, в принципе, можно отключить все). И еще, Касперский у вас так и остался выключенным - включите монитор. И видны еще две программы - сканера: XoftSpy и UnHackMe, причем последняя имеет активный монитор. Совместное использование нескольких AV-программ может само по себе вызвать проблемы в работе.Код:8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя
Спасибо, понял.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\evgen\\local settings\\temp\\winlogon.exe - Trojan-Proxy.Win32.Agent.qq (DrWEB: Trojan.Packed.147)
- c:\\docume~1\\evgen\\locals~1\\temp\\winlogon.exe - Trojan-Proxy.Win32.Agent.qq (DrWEB: Trojan.Packed.147)
- c:\\windows\\system32\\drivers\\protect.sys - Rootkit.Win32.Agent.jj (DrWEB: Trojan.NtRootKit.429)
- c:\\windows\\wupdsvc7.exe - Trojan-Spy.Win32.Webmoner.es (DrWEB: Trojan.Packed.194)
Уважаемый(ая) МудрилаСтрашный, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.