Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 34.

Неизвестные запросы (заявка № 50622)

  1. #1
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    29

    Thumbs up Неизвестные запросы

    День добрый, с недавних пор svchost.exe стал выдавать запросы на входящие соединения с адреса gv.eridan при включении и выключении интернета. Также на днях nod32 поймал в C:\System Volume Information\_restore{EA6E51F0-EF1A-44AB-BBA4-ED58448FC731}\RP52\A0089552.dll Win32/TrojanClicker.Agent.NGF, возможно из-за него эта проблема и происходит. Прошу о помощи
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Восстановление системы: включено????


    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('gxvxcserv.sys','');
     DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
     DeleteFile('%systemroot%\system32\drivers\gxvxcserv.sys');
     DeleteService('Bonjour Service');
     DeleteFile('%programfiles%\bonjour\mdnsresponder.exe');
     DeleteFile('%programfiles%\bonjour\mdnsNSP.dll');
     DeleteFile('%programfiles%\Bonjour\ExplorerPlugin.dll');
     DelCLSID('{9999A076-A9E2-4C99-8A2B-632FC9429223}');
     RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(14);
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    29
    карантин скинул, логи приложил

    Пост мертвый...
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 24.07.2009 в 16:52.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от Маяк Посмотреть сообщение
    Пост мертвый...
    А чего - очень спешно надо? Сделайте format c:\ - будет намного быстрее.

    Лог gmer сделайте - в Чаво есть инструкция.

  6. #5
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    29
    ага, лог ниже
    Вложения Вложения
    • Тип файла: log Gmer.log (56.7 Кб, 4 просмотров)

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Сохраните код в текстовом файле
    Код:
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\gxvxcserv"
    gmer.exe -del file "%systemroot%\system32\drivers\gxvxcbpcbfxmbphqywbrshyxiwulnkbymwvin.sys"
    gmer.exe -del file "%systemroot%\system32\gxvxcgxvdlymsiesixrmpygpurtetidqvpavb.dll"
    gmer.exe -reboot
    в том каталоге, где gmer под именем 123.bat и запустите его. После перезагрузки повторите лог gmer.
    Последний раз редактировалось Rene-gad; 29.07.2009 в 10:50.

  8. #7
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    29
    завтра вечером сделаю, щас уже времени нет

  9. #8
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    29
    пишит не найден указаный модуль

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Не найден - и ладно. Дойдите с этим скриптом до конца и сделйте новый лог.

  11. #10
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    29
    Прикрепил новый лог
    Вложения Вложения
    • Тип файла: log gmer.log (35.6 Кб, 5 просмотров)

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Вы 123.bat где сохранили? Его надо из той же папки, где лежит gmer.exe запускать. Повторите его запуск, всё осталось без изменений.

  13. #12
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    29
    там и сохранил, где gmer. вновь запустил, и опять не найден указанный модуль

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Попробуйте измененный скрипт под именем 321.bat
    Код:
    gmer.exe -del service gxvxcserv
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\gxvxcserv"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\gxvxcserv.sys"
    gmer.exe -del file "C:\WINDOWS\system32\drivers\gxvxcbpcbfxmbphqywbrshyxiwulnkbymwvin.sys"
    gmer.exe -del file "C:\WINDOWS\system32\gxvxcgxvdlymsiesixrmpygpurtetidqvpavb.dll"
    gmer.exe -reboot

  15. #14
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    29
    ок

    Добавлено через 8 минут

    И вновь не найден. в последнем сообщении написано ''an error 0x00000002 occured during the deletion of file" и путь к драйверу, который надо удалить
    Последний раз редактировалось Маяк; 29.07.2009 в 11:06. Причина: Добавлено

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Запустите gmer.exe , закладка File , пройдите в каталог C:\WINDOWS\system32\drivers\ поищите файл с таким дурацким gxvxcbpcbfxmbphqywbrshyxiwulnkbymwvin.sys (или похожим) именем. Скопируйте его куда-нибудь на диск (Copy), потом убейте (Delete). Возможно gmer предложит удалить его при перезагрузке.Аналогично файл C:\WINDOWS\system32\gxvxcgxvdlymsiesixrmpygpurteti dqvpavb.dll

  17. #16
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    29
    хех, как ни странно, но файлов с подобными именами там просто нет. Просмотрел все вдоль и поперек, даже намека на такое имя нет, как и файлов с длинными именами.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    В последнем логе гмера они видны. Проверьте ещё ключи реестра в regedit.

  19. #18
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    29
    проверил - пусто.

  20. #19
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,456
    Вес репутации
    2914
    При выполнении лога gmer возможны сообщения об ошибках. Не стоит на них внимания обращать.
    Делайте новый лог gmer
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  21. #20
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    29
    Цитата Сообщение от thyrex Посмотреть сообщение
    При выполнении лога gmer возможны сообщения об ошибках. Не стоит на них внимания обращать.
    Это вы о чем?у меня никаких ошибок не было

  • Уважаемый(ая) Маяк, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Неизвестные вирусы
      От zTiher в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 19.11.2009, 15:24
    2. Запросы на 66.36.228.233
      От Powl в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.09.2009, 12:32
    3. неизвестные процессы
      От Gastell0 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 09:16
    4. Неизвестные IRP хуки
      От Hook's в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 15.09.2008, 11:41
    5. Звездные запросы
      От MOCT в разделе Юмор
      Ответов: 0
      Последнее сообщение: 18.08.2006, 22:44

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00617 seconds with 22 queries