Вот вчера подхватил вирус. теперь куча трафика идет посмотрев в различных мониторах вижу как svchost.exe создает кучу подключений по смтп все испробовал последняя надежда на вас.
Логи приложил
Вот вчера подхватил вирус. теперь куча трафика идет посмотрев в различных мониторах вижу как svchost.exe создает кучу подключений по смтп все испробовал последняя надежда на вас.
Логи приложил
Отключите восстановление системы.
Удалите BitAccelerator и ConnectionServices - это AdvWare.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('protect', 4); QuarantineFile('c:\windows\system32\kmdevmonsrv.exe',''); QuarantineFile('C:\WINDOWS\system32\c++.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys',''); QuarantineFile('C:\WINDOWS\system32\fci.exe',''); QuarantineFile('d:\pos\loy\isen3.exe',''); QuarantineFile('C:\WINDOWS\system32\w32sys5.exe',''); DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}'); DeleteFile('C:\WINDOWS\system32\c++.exe'); DeleteFile('C:\WINDOWS\system32\w32sys5.exe'); DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); BC_DeleteSvc('protect'); BC_DeleteSvc('FCI'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16416
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Повторите логи.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\c++.exe, O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing) O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - shell32.dll (file missing)
спасибо за такой оперативный ответ, завтра в офисе попробую все сделать.
d:\pos\loy\isen3.exe это нужная программа
это программа для работы с базой скидок.
Если так уверенны то в скрипте удалите строчку QuarantineFile('d:\pos\loy\isen3.exe',''); и всё. Выполняйте без неё.
Все сделал, повторяю логи
В логах все нормально.
ConnectionServices только забыли деинсталлировать.
Посмотрите, нужно ли вам что-то из этого:
Лишнее отключим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry) >> Службы: разрешена потенциально опасная служба TermService (Terminal Services) >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service) >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet) >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса >> Безопасность: Разрешена отправка приглашений удаленному помошнику >> Безопасность: разрешен автоматический вход в систему
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\connectionservices\\connectionservices.dll - Trojan.Win32.ConnectionServices.m (DrWEB: Trojan.BitAcc)
- c:\\windows\\system32\\fci.exe - Trojan.Win32.Agent.dxg (DrWEB: Trojan.Spambot.2572)
Уважаемый(ая) Banzai, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.