Здравствуйте.
На неделе поймал какую то гадость.
netstat показывает кучу подключений по smtp
через lsass.exe с разными ID процессов
Когда завершаю процессы из AVZ все прекращается.
Помогите, пожалуйста.
Здравствуйте.
На неделе поймал какую то гадость.
netstat показывает кучу подключений по smtp
через lsass.exe с разными ID процессов
Когда завершаю процессы из AVZ все прекращается.
Помогите, пожалуйста.
Скачайте: http://virusinfo.info/showthread.php?t=17228 , найдите и удалите через force delete
ОтключитеКод:C:\WINDOWS\system32\khgxydfu.dll
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
ВНИМАНИЕ: Если 62.80.160.130 прописывали сами или знаете, что это Ваш провайдер или сервер - НЕ ФИКСИТЕ О17-записи.
- Выполните скриптКод:O17 - HKLM\System\CCS\Services\Tcpip\..\{0CC52F21-09CC-4530-8AD2-09DE16FDFA54}: NameServer = 62.80.160.130,62.80.160.140 O17 - HKLM\System\CS1\Services\Tcpip\..\{0CC52F21-09CC-4530-8AD2-09DE16FDFA54}: NameServer = 62.80.160.130,62.80.160.140 O17 - HKLM\System\CS2\Services\Tcpip\..\{0CC52F21-09CC-4530-8AD2-09DE16FDFA54}: NameServer = 62.80.160.130,62.80.160.140 O17 - HKLM\System\CS3\Services\Tcpip\..\{0CC52F21-09CC-4530-8AD2-09DE16FDFA54}: NameServer = 62.80.160.130,62.80.160.140 O17 - HKLM\System\CS4\Services\Tcpip\..\{0CC52F21-09CC-4530-8AD2-09DE16FDFA54}: NameServer = 62.80.160.130,62.80.160.140 O20 - Winlogon Notify: atiataxx - C:\WINDOWS\ O20 - Winlogon Notify: khgxydfu - C:\WINDOWS\SYSTEM32\khgxydfu.dll
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Chl38'); DeleteService('Chl40'); DeleteService('Eko26'); DeleteService('Glq04'); DeleteService('Hmr72'); DeleteService('Ins15'); DeleteService('lqU26'); DeleteService('tcpsr'); DeleteService('Vbf27'); DeleteService('Vci40'); DeleteService('wcG83'); DeleteService('Wch17'); DeleteService('Xdh37'); DeleteService('Yei16'); DeleteService('yeI50'); DeleteService('yeI61'); DeleteService('Yej72'); DeleteService('Yfk04'); QuarantineFile('C:\WINDOWS\system32\khgxydfu.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Yfk04.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Yej72.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\yeI61.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Yei16.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Xdh37.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wch17.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\wcG83.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Vci40.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Vbf27.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\lqU26.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Ins15.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Hmr72.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Glq04.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Eko26.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Chl40.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Chl38.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Chl38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Chl40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Eko26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Glq04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Hmr72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ins15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\lqU26.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Vbf27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\wcG83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wch17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Xdh37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Yei16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\yeI50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\yeI61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Yej72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Yfk04.sys'); DeleteFile('C:\WINDOWS\system32\khgxydfu.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
Все сделал.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Vci40'); DeleteService('Vbg51'); QuarantineFile('C:\WINDOWS\System32\Drivers\Vbg51.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Vci40.sys',''); DeleteFile('C:\Documents and Settings\Алёна\Local Settings\Temp\BN8.tmp'); DeleteFile('C:\WINDOWS\System32\Drivers\Vci40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Vbg51.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.[/QUOTE]
Опять все сделал.
все нормально?
про меня забыли?
ну как бы визуально все нормально
а если в логах все хорошо то значит точно все нормально )
Огромное спасибо!
У вас замечательный сервис!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\алёна\\local settings\\temp\\bn8.tmp - Trojan-Dropper.Win32.Agent.sej (DrWEB: BackDoor.Bulknet.206)
Уважаемый(ая) kol, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.