Junior Member
Вес репутации
60
большое подозрение что в системе сидит вирус
провайдер заблокировал доступ к интернету мотивирую тем что с моего компа рассылается спам. Программа Active Ports показывает активную работу файла svchost.exe, данный файл запускается очень в больших количествах, при этом выйти в интернет не возможно, ICQ работает нормально, а страницы не открываются.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите
Код:
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
TerminateProcessByName('c:\windows\system32\amupdsvc.exe');
DeleteService('tcpsr');
DeleteService('Nsw37');
DeleteService('nh_srv');
DeleteService('amupdsvc');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nsw37.sys','');
QuarantineFile('C:\WINDOWS\system32\svchоst.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\tdicf.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Nsw37.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Nh.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
QuarantineFile('c:\windows\system32\srvany.exe','');
QuarantineFile('c:\windows\system32\pastisvc.exe','');
QuarantineFile('c:\windows\system32\amupdsvc.exe','');
DeleteFile('c:\windows\system32\amupdsvc.exe');
DeleteFile('c:\windows\system32\srvany.exe');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Nh.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Nsw37.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\drivers\tdicf.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nsw37.sys');
DeleteFile('C:\WINDOWS\system32\svchоst.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки закачайте карантин по красной ссылке вверху темы и повторите 3 лога.
Junior Member
Вес репутации
60
все сделал, файл карантина выслал
если не секрет что такого страшного я поймал?
Вложения
скачайте C:\WINDOWS\System32\Drivers\Nsw37.sys - force delete
выполните скрипт ..
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Nsw37');
DeleteFile('C:\WINDOWS\system32\Drivers\Nsw37.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
Сообщение от
sadhu
если не секрет что такого страшного я поймал?
Если Вас это дествительно интересует, то подождите немного: Ответа из Вирлаба еще нет
Как и просили
act_bg.[20].jpgd, advanced.[29].htmd, advanced1.[10].mlf, advanced2.[15].htmd, advanced2.[16].mlf, advanced3.[23].mlf, AdvancedUse1.[11].exed, AdvancedUse1.[12].frm, AdvancedUse1.[13].vbp, AdvancedUse1.[14].vbw, AdvancedUse2.[17].exed, AdvancedUse2.[18].frm, AdvancedUse2.[19].vbp, AdvancedUse3.[24].exed, AdvancedUse3.[25].frm, AdvancedUse3.[26].vbp, AdvancedUse3.[27].vbw, basic.[30].htmd, clientprint.[2].htmd, csharptestprint3.[3].aspx, default.[2].asp, default.[4].asp, default.[5].aspx, default.[6].htmd, dialog.[9].htmd, docs.[7].css, Format.[10].htmd, frame.[11].htmd, frame.[31].htmd, FreeUse.[28].exed, FreeUse.[29].frm, FreeUse.[30].vbp, gendocs.[8].htmd, info.[32].htmd, InvokeByRef.[12].htmd, InvokeByRefResult.[13].htmd, margins.[33].htmd, maxiptout.[21].asp, MCSecMgr.[0].dll, ModalDialog.[14].htmd, MYCENT~1.[22].DLL, Nh.[23].sys, non_act_bg.[21].jpgd, OleView.[15].htmd, pastisvc.[24].exed, print.[25].css, printcontrol.[34].htmd, printdoc.[26].htmd, readme(1).[27].txt, readme.[28].txt, SafeArray.[16].htmd, ScriptX.[1].dll, serverprint.[36].htmd, service.[1].exed, service.[40].exed, srvany.[42].exed, sx_stat.[22].gifd, tdicf.[43].sys, techie.[35].htmd, testprint1.[3].asp, testprint1.[44].asp, testprint1.[45].aspx, testprint1.[7].aspx, testprint2.[46].asp, testprint2.[47].aspx, testprint2.[4].asp, testprint2.[8].aspx, testprint3.[48].asp, testprint3.[49].aspx, testprint3.[5].asp, testprint3.[9].aspx, testprint4.[50].asp, testprint4.[51].aspx, Timeout.[17].htmd, validate.[52].jsd, validate.[6].js_, wshdlg.[18].[58].jsd, wshie.[19].[59].jsd, wshie.[20].[60].vbsd
Вредоносный код в файлах не обнаружен.
WinNt32.[57].dll - Trojan-Downloader.Win32.Mutant.aae
Junior Member
Вес репутации
60
высылаю логи
Огромное спасибо всем за помощ!!!
Вложения
В логах чисто. Какие проблемы наблюдаете?
Junior Member
Вес репутации
60
после Вашей помощи все работает хорошо. Огромное спасибо за помощь!
Если проблем не наблюдается, то нам было бы интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Нужно в ближайшее время обновить систему до Service Pack 3.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 9 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\winnt32.dll - Trojan-Downloader.Win32.Mutant.aae (DrWEB: BackDoor.Bulknet.206)