Доброго времени суток, помогите в решении такой проблемы, на компьютере какието вирусы, интернет трафик жрут, постоянно соединяется через service.exe с какимито портами, это видно в фаерволе. Каспер и нод 32 не помогли, что делать??
Вирус service.exe
Доброго времени суток, помогите в решении такой проблемы, на компьютере какието вирусы, интернет трафик жрут, постоянно соединяется через service.exe с какимито портами, это видно в фаерволе. Каспер и нод 32 не помогли, что делать??
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('SysmonLogSENS', 4); SetServiceStart('Google Online Search Service', 4); StopService('SysmonLogSENS'); StopService('Google Online Search Service'); QuarantineFile('kdjka.exe',''); QuarantineFile('C:\WINDOWS\system32\pokd437.exe',''); QuarantineFile('C:\WINDOWS\system32\acelpdecc.exe',''); QuarantineFile('C:\WINDOWS\system32\winlagan.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll',''); QuarantineFile('C:\WINDOWS\system\hipsrv.mm',''); DeleteFile('C:\WINDOWS\system\hipsrv.mm'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll'); DeleteFile('C:\WINDOWS\system32\winlagan.exe'); DeleteFile('C:\WINDOWS\system32\pokd437.exe'); DeleteFile('kdjka.exe'); DeleteService('SysmonLogSENS'); DeleteService('Google Online Search Service'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); DelBHO('{E0E899AB-F487-11D5-8D29-0050BA6940E3}'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19821
Повторите логи
Microsoft Most Valuable Professional in Consumer Security
высылаю, карантин, и новые логи, как вы просили
Коллега Numb обратил внимание на затаившихся зловредов.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('ccPwdSvcSSDPSRV', 4); SetServiceStart('Mna33', 4); SetServiceStart('NdisWon', 4); StopService('ccPwdSvcSSDPSRV'); StopService('Mna33'); StopService('NdisWon'); QuarantineFile('C:\WINDOWS\system32\1028i.exe',''); QuarantineFile('Mna33.sys',''); QuarantineFile('NdisWon.sys',''); DeleteFile('NdisWon.sys'); DeleteFile('Mna33.sys'); DeleteFile('C:\WINDOWS\system32\1028i.exe'); DeleteService('NdisWon'); DeleteService('ccPwdSvcSSDPSRV'); DeleteService('Mna33'); BC_ImportALL; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19821
Повторите логи
Microsoft Most Valuable Professional in Consumer Security
Высылаю новый карантин, и новые логи. при выполнение вашего скрипта(2) при перезагрузке, система что то ругалась, это нормально?И еще в фаерволе больше не видно, что бы он соединялся с портами
Последний раз редактировалось Spartan; 14.03.2008 в 18:09. Причина: P.S.
Выполните такой скрипт:
Больше ничего плохого не видно.Код:begin BC_DeleteFile('C:\WINDOWS\system\hipsrv.mm'); BC_DeleteSvc('hipsrv'); BC_Activate; RebootWindows(true); end.
Рекомендуется отключить все что вам не нужно из этого списка:
Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 30
- В ходе лечения обнаружены вредоносные программы:
- c:\\system volume information\\_restore{ef9e4375-fc53-4583-84bc-5b2143e36206}\\rp31\\a0011046.sys - Rootkit.Win32.Agent.aih (DrWEB: Trojan.Sentinel)
- c:\\windows\\system32\\acelpdecc.exe - Trojan.Win32.Inject.aet (DrWEB: BackDoor.IRC.Nite)
- c:\\windows\\system32\\1028i.exe - Backdoor.Win32.IRCBot.byr (DrWEB: BackDoor.IRC.Nite)
Уважаемый(ая) Spartan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
