Есть подозрения на kdmgn.exe, антивирусы его не видят. Помогите удалить. Логи во вложении. Заранее благодарен.
Есть подозрения на kdmgn.exe, антивирусы его не видят. Помогите удалить. Логи во вложении. Заранее благодарен.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\kdmgn.exe',''); QuarantineFile('C:\WINDOWS\system32\msxml71.dll',''); QuarantineFile('Patch.exe',''); DeleteFile('C:\WINDOWS\system32\kdmgn.exe'); DeleteFile('C:\WINDOWS\system32\msxml71.dll'); DelBHO('500BCA15-57A7-4eaf-8143-8C619470B13D'); BC_ImportALL; SysCleanAddFile('kdmgn.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин по правилам (загружать здесь: http://virusinfo.info/upload_virus.php?tid=30889 ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Из автозагрузки он пропал, прописал свои DNS - пока не меняются, а прописывались вот эти ns- 85.255.115.78,85.255.112.212. Высылаю логи после скрипта. Единственное, комп не хочет выключаться).
Вот это Вам знакомо?:
Если что-то незнакомо, то пофиксите в HijackThis те строчки отсюда, которые незнакомы.Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.21.254:3128 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = umaco.org O17 - HKLM\Software\..\Telephony: DomainName = umaco.org O17 - HKLM\System\CCS\Services\Tcpip\..\{CD90E3F0-7384-40CB-A9D6-25862B7F9937}: NameServer = 85.255.115.78,85.255.112.212 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = umaco.org O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = umaco.org O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = umaco.org
Перезагрузите компьютер. Сделайте новый лог HijackThis.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
да, это наш домен.
Добавлено через 1 минуту
Благодарю за помощь, наюсь избавились оканчательно.))Спасибо.
Последний раз редактировалось need; 25.09.2008 в 18:24. Причина: Добавлено
А вот это:
?Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.21.254:3128 O17 - HKLM\System\CCS\Services\Tcpip\..\{CD90E3F0-7384-40CB-A9D6-25862B7F9937}: NameServer = 85.255.115.78,85.255.112.212
Если что-то незнакомо - фиксите, потом перезагрузите компьютер. Затем прикрепите новый лог HijackThis.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\kdmgn.exe - Trojan.Win32.Agent.aezj (DrWEB: Trojan.DnsChange.991)
- c:\\windows\\system32\\msxml71.dll - Trojan.Win32.Agent.aezk (DrWEB: Trojan.Packed.191)
Уважаемый(ая) need, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.