Rs32net.exe запускал кучу svchost.exe
CureIt нашел и удалил.
Вот логи.
Rs32net.exe запускал кучу svchost.exe
CureIt нашел и удалил.
Вот логи.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\explorer.exe:mian.nest.9.10:$DATA',''); QuarantineFile('C:\WINDOWS\explorer.exe:maim2.jpg:$DATA',''); QuarantineFile('C:\WINDOWS\explorer.exe:extractor6.jpg:$DATA',''); QuarantineFile('C:\WINDOWS\explorer.exe:clicker1.jpg:$DATA',''); QuarantineFile('c:\windows\explorer.exe:maim2.jpg:$DATA',''); QuarantineFile('c:\windows\explorer.exe:extractor6.jpg:$DATA',''); QuarantineFile('c:\windows\explorer.exe:clicker1.jpg:$DATA',''); DeleteService('tcpsr'); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); DeleteService('ati8tixx'); DeleteService('ati8jjxx'); DeleteService('ati8alxx'); DeleteService('ati8aaxx'); DeleteService('ati7bmxx'); DeleteService('ati6mmxx'); DeleteService('ati6mbxx'); DeleteService('ati6fexx'); DeleteService('ati5laxx'); DeleteService('ati5bexx'); DeleteService('ati4kyxx'); DeleteService('ati4ffxx'); DeleteService('ati4ccxx'); DeleteService('ati3ddxx'); DeleteService('ati2gjxx'); DeleteService('ati0eexx'); DeleteService('ati0aaxx'); QuarantineFile('C:\WINDOWS\System32\Drivers\ati0aaxx.sys',''); QuarantineFile('C:\WINDOWS\explorer.exe:mian.nest.9.10',''); QuarantineFile('C:\WINDOWS\explorer.exe:maim2.jpg',''); QuarantineFile('C:\WINDOWS\explorer.exe:extractor6.jpg',''); QuarantineFile('C:\WINDOWS\explorer.exe:clicker1.jpg',''); QuarantineFile('C:\WINDOWS\22222222.txt',''); DeleteFile('C:\WINDOWS\22222222.txt'); DeleteFile('C:\WINDOWS\explorer.exe:clicker1.jpg'); DeleteFile('C:\WINDOWS\explorer.exe:extractor6.jpg'); DeleteFile('C:\WINDOWS\explorer.exe:maim2.jpg'); DeleteFile('C:\WINDOWS\explorer.exe:mian.nest.9.10'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0aaxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0eexx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2gjxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati3ddxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4ccxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4ffxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4kyxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5bexx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5laxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6mbxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6fexx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7bmxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6ynxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6mmxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8aaxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8jjxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8tixx.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('c:\windows\explorer.exe:clicker1.jpg:$DATA'); DeleteFile('c:\windows\explorer.exe:extractor6.jpg:$DATA'); DeleteFile('c:\windows\explorer.exe:maim2.jpg:$DATA'); DeleteFile('c:\windows\explorer.exe:mian.nest.9.10:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:clicker1.jpg:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:extractor6.jpg:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:maim2.jpg:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:mian.nest.9.10:$DATA'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Запустил скрипт. Загрузил карантин. Повторные логи ниже.
выполните скрипт
повторите логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('ati8alxx'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8alxx.sys'); DeleteFile('rssync.dll'); SetAVZPMStatus(true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Выполнил скрипт, логи ниже.
выполните скрипт
в логах ничего подозрительного ...Код:begin SetAVZPMStatus(false); RebootWindows(true); end.
Спасибо.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\explorer.exe:extractor6.jpg - Trojan-Mailfinder.Win32.Delf.fj
- c:\windows\explorer.exe:extractor6.jpg:$data - Trojan-Mailfinder.Win32.Delf.fj
- c:\windows\explorer.exe:mian.nest.9.10 - Backdoor.Win32.Agent.acks
- c:\windows\explorer.exe:mian.nest.9.10:$data - Backdoor.Win32.Agent.acks
Уважаемый(ая) BudhaMan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.