C:\WINDOWS\system32\kdnhx.exe, winctrl32.dll, tcpsr.sys

[314404]

Пробовал удалять в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
параметр C:\WINDOWS\system32\kdnhx.exe с одноименным значением (C:\WINDOWS\system32\kdnhx.exe) - сразу после нажатия F5(обновить) она восстанавливается. Файла kdnhx.exe по указанному пути нет. Пробовал переименовать параметр - появляется снова, и переименованную копию удалить также не дает. Отключил загрузку всего с помощью msconfig (диагностический запуск)- не помогло...

Обнаружил
C:\WINDOWS\System32\drivers\winctrl32.dll

Нашел в реестре левый сервис:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\tcpsr
[ \??\C:\WINDOWS\System32\drivers\tcpsr.sys ]

Аномальная сетевая активность:
svchost.exe ИСХ TCP mxs.mail.ru SMTP
svchost.exe ИСХ TCP mail7.digitalwaves.co.nz SMTP
svchost.exe ИСХ TCP in1.smtp.messagingengine.com SMTP
svchost.exe ИСХ TCP gsmtp183.google.com SMTP
svchost.exe ИСХ TCP gmail-smtp-in.l.google.com SMTP

Также srvhost открывал локальные порты (номер следующего увеличивался на единицу) по одному в секунду на удаленный адрес
svchost.exe ИСХ TCP 208.72.169.19 1939 и загружались вирусы, которые сразу определялись и удалялись NOD32.

После запуска AVZ ("Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info") winctrl32.dll исчез, по SMTP ничего не отправляет и пропал ИСХ TCP 208.72.169.19 на порт 1939


Подскажите плиз, как избавиться от этого?

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('winvolume.exe','');
 QuarantineFile('C:\WINDOWS\system32\kdnhx.exe','');
 DeleteService('Winvb72');
 DeleteService('Winsw26');
 DeleteService('Winrw50');
 DeleteService('Winnr72');
 DeleteService('Winmr50');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb72.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winsw26.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winrw50.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winpt04.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winnr72.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winmr50.sys','');
 DeleteService('Vae26');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Vae26.sys','');
 DeleteService('tcpsr');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Vae26.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winmr50.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winnr72.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winpt04.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winrw50.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winsw26.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvb72.sys');
 DeleteFile('C:\WINDOWS\system32\kdnhx.exe');
 DeleteFile('winvolume.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[314404]

Предидущие логи сделаны в минимальной конфигурации (диагностический запуск msconfig). Эти - обычный запуск (загружены все драйверы и службы)

[V_Bond]

выполните скрипт ...

Код:

begin
DeleteFile('kdnhx.exe');
DelWinlogonNotifyByFileName('kdnhx.exe'); 
ExecuteSysClean;
end.

повторите virusinfo_syscheck.zip

[314404]

После запуска скрипта и перезагрузки в реестре осталось:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion
двоичный параметр kdid
двоичный параметр kdnhx.exe

HKEY_USERS\S-1-5-21-789336058-1383384898-1343024091-500\Software\Microsoft\Windows\CurrentVersion
двоичный параметр kdid
двоичный параметр kdnhx.exe

Это нормально?

[V_Bond]

Это нормально?

по крайней мере не страшно ... можете почистить реестр вручную ...
лог где ?

[314404]

Вот он

[V_Bond]

в логе ничего подозрительного ...

[314404]

Спасибо огромное!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\kdnhx.exe - Trojan.Win32.Monder.gen (DrWEB: Trojan.DownLoader.6418