Показано с 1 по 6 из 6.

Не могу найти где засел зверёк. svchost шлёт спам и просится на 94.75.207.188 на 443 порт (заявка № 49598)

  1. #1
    Junior Member Репутация
    Регистрация
    08.07.2009
    Сообщений
    3
    Вес репутации
    28

    Thumbs up Не могу найти где засел зверёк. svchost шлёт спам и просится на 94.75.207.188 на 443 порт

    cureit и nod4 не находят ничего, кроме периодически подгружаемых знакомых им вирусов
    один из периодически прибиваемых нодом - "variant of Win32/Wigon.KT"
    вот тут подозрение есть
    O4 - HKLM\..\Run: [15329844] C:\Documents and Settings\All Users\Application Data\15329844\15329844.exe
    O4 - HKLM\..\Run: [95339836] C:\Documents and Settings\All Users\Application Data\95339836\95339836.exe
    но ниодин антивирус ничего в них не находит
    при этом через svchost идёт рассылка спама по куче серверов
    также svchost постоянно пытается подключиться к 94.75.207.188 на 443 порт (видимо запросить указания для себя лезет)
    как-бы вылечить данную гадость
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    Отключите восстановление системы!!!
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, запустите только AVZ и Internet Explorer.
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\documents and settings\administrator\administrator.exe');
     QuarantineFile('C:\WINDOWS\systools\routerest.bat','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\95339836\95339836.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\15329844\15329844.exe','');
     QuarantineFile('C:\Documents and Settings\Administrator\Administrator.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\TDIMSYS.SYS','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\ip_fw.sys','');
     QuarantineFile('c:\program files\rss popper oe\rsspopperoe.exe','');
     QuarantineFile('c:\documents and settings\administrator\administrator.exe','');
     DeleteFile('C:\Documents and Settings\Administrator\Administrator.exe');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\15329844\15329844.exe');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\95339836\95339836.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузиться!!!
    Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите временные папки интернета.
    Сделайте новые логи по правилам - virusinfo_syscheck.zip, virusinfo_syscure.zip и hijackthis.log

  4. #3
    Junior Member Репутация
    Регистрация
    08.07.2009
    Сообщений
    3
    Вес репутации
    28
    ip_fw.sys и routerest.bat - файлы файрвола, их исключил из карантина
    все остальное приложено к теме
    Вложения Вложения
    Последний раз редактировалось Numb; 09.07.2009 в 09:17. Причина: Карантин в теме

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Зря. Они бы пополнили базу чистых файлов, а удалять их никто и не собирался.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    08.07.2009
    Сообщений
    3
    Вес репутации
    28
    Цитата Сообщение от PavelA Посмотреть сообщение
    Зря. Они бы пополнили базу чистых файлов, а удалять их никто и не собирался.
    отписал в ПМ адрес, откуда можно забрать файлец отдельно

    вроде после вышеописаных манипуляций активности зверя не наблюдается.

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,512
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\administrator\administrator.exe - Backdoor.Win32.HareBot.ec ( DrWEB: Trojan.DownLoad.40159, BitDefender: Trojan.Downloader.JMDY )


  • Уважаемый(ая) atofu, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 1
      Последнее сообщение: 29.01.2012, 16:09
    2. Спам на 80 порт
      От mamtooc в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 15.03.2009, 00:30
    3. svchost.exe:ext.exe не могу найти где?
      От danalex в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 04:21
    4. Спам на 25-ый порт
      От mamtooc в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.09.2008, 23:34
    5. svchost постоянно просится в инет
      От Alex_Yu в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.09.2008, 01:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01431 seconds with 22 queries