Показано с 1 по 11 из 11.

SVCHOST.exe 4000 открытых портов (заявка № 26200)

  1. #1
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    13
    Вес репутации
    33

    Exclamation SVCHOST.exe 4000 открытых портов

    Троян пытаеться отослать инфу файрволл пишет SVCHOST.exe пытается отсылать на IP 216.195.61.61 Помогите плиз.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Скачайте IceSword.
    Запустите программу.
    Внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Ant85.sys.
    Нажмите по нему правой кнопкой мыши и выберите force delete.
    На запрос потверждения ответьте "да".

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\Ant85.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
    BC_ImportAll;
    BC_DeleteSvc('tcpsr');
    BC_DeleteSvc('Ant85');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=26200

    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    13
    Вес репутации
    33
    Ничего не помогло вообще только Winlogon еще долбиться начал.
    Вложения Вложения

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Наверное, что-то сделали не так - Ant85.sys живее всех живых.

    1. Отключаем интернет, НОД и Аутпост.
    2. Удаляем Ant85.sys IceSword'ом (Force Delete).
    3. Сразу же, не перезагружаясь, выполняем вышеуказанный скрипт в AVZ.

    Еще не было случая, чтобы не помогло.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    13
    Вес репутации
    33
    Помогите на компьетере опять тоже самое но предыдущий способ лечения результатов не дает. Пожалуйста помогите


    Файлы не удаеться прикрепить
    http://ifolder.ru/7467915
    http://ifolder.ru/7467931
    http://ifolder.ru/7467941
    Последний раз редактировалось DKG; 25.07.2008 в 18:12.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Новые логи прикрепите.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  8. #7
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    13
    Вес репутации
    33
    по обычному логи не удаёться прикрепить пишет не т доступа залил ссылки дал см.выше

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Скачайте IceSword.
    Запустите его, внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Winmp58.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

    Потом выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\AgataSoft_Image_Button.exe','');
     QuarantineFile('C:\PROGRA~1\GISMET~1\GISMET~1.DLL','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\yndbar.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\npf.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\actvcomm.sys','');
     QuarantineFile('srv.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winmp58.sys','');
     QuarantineFile('C:\WINDOWS\system32\zvprtmon5.dll','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\stremu.SYS','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winmp58.sys');
    DelWinlogonNotifyByKeyName('WinCtrl32');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('Winmp58');
    BC_DeleteSvc('mi-raysat_3dsmax8EhttpSrv');
    BC_DeleteSvc('EhttpSrvDhcp');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=26200 ).

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  10. #9
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    13
    Вес репутации
    33
    карантин выслал ise.exe explorer.exe проблема как выслать Winmp58.sys ? Новые логи прикрепил.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Файл присылать в архиве с паролем virus по той же ссылке.

    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Новый диск\Школа контраварийного вождения\setup\Internet Explorer 6 Rus\check_ie.exe','');
     DeleteFile('C:\Program Files\AgataSoft_Image_Button.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe');
    DelBHO('10954C80-4F0F-11d3-B17C-00C0DFE39456');
    DelCLSID('08B0E5C0-4FCB-11CF-AAX5-90401C608512');
    BC_ImportDeletedList;
    ExecuteSysClean;
    DelWinlogonNotifyByKeyName('WinCtrl32');
    BC_DeleteSvc('winmgmtupnphost');
    BC_DeleteSvc('MSDTCEvtEng');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин.

    Вот это Вам знакомо?:
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{392F69B9-E55B-4B8E-9CF0-33803D3D2838}: NameServer = 80.254.111.254,195.161.172.254
    Если незнакомо, то пофиксите в HijackThis эту строчку.
    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,515
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 32
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aqh (DrWEB: Trojan.DownLoad.3187)


  • Уважаемый(ая) DKG, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Много открытых TCP портов
      От Crow54 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 25.01.2010, 18:40
    2. Куча открытых UDP портов и нечто Backdoor.Lurker
      От Doxer в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.11.2008, 12:09
    3. Куча открытых портов. Хелп плиз...
      От Добрый доктор в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 03.03.2007, 00:44
    4. Ответов: 13
      Последнее сообщение: 10.08.2006, 17:32
    5. winlogon больше ста открытых портов
      От Into в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 13.06.2006, 22:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00631 seconds with 23 queries