Не могу найти где засел зверёк. svchost шлёт спам и просится на 94.75.207.188 на 443 порт
cureit и nod4 не находят ничего, кроме периодически подгружаемых знакомых им вирусов
один из периодически прибиваемых нодом - "variant of Win32/Wigon.KT"
вот тут подозрение есть
O4 - HKLM\..\Run: [15329844] C:\Documents and Settings\All Users\Application Data\15329844\15329844.exe
O4 - HKLM\..\Run: [95339836] C:\Documents and Settings\All Users\Application Data\95339836\95339836.exe
но ниодин антивирус ничего в них не находит
при этом через svchost идёт рассылка спама по куче серверов
также svchost постоянно пытается подключиться к 94.75.207.188 на 443 порт (видимо запросить указания для себя лезет)
как-бы вылечить данную гадость
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите восстановление системы!!!
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\administrator\administrator.exe');
QuarantineFile('C:\WINDOWS\systools\routerest.bat','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\95339836\95339836.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\15329844\15329844.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Administrator.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\TDIMSYS.SYS','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ip_fw.sys','');
QuarantineFile('c:\program files\rss popper oe\rsspopperoe.exe','');
QuarantineFile('c:\documents and settings\administrator\administrator.exe','');
DeleteFile('C:\Documents and Settings\Administrator\Administrator.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\15329844\15329844.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\95339836\95339836.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузиться!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите временные папки интернета.
Сделайте новые логи по правилам - virusinfo_syscheck.zip, virusinfo_syscure.zip и hijackthis.log
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: