Junior Member
Вес репутации
54
Svchost рассылает спам
Здравствуйте!
Имеется ноутбук на котором стоит ХР SP2. Насколько процессов svchost постоянно ломятся куда-то на 25 порт. Полная проверка Касперским ничего не дала. При попытке запустить CureIT как в обычном так и в безопасном режиме - синий экран. Help.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\NetworkService\NetworkService.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\systemprofile.exe','');
QuarantineFile('C:\WINDOWS\system32\as1258.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Program Files\Manson\liser.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\LocalService.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
DeleteService('ws2_32sik');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
DeleteService('securentm');
QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
DeleteService('protect');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
DeleteService('port135sik');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
DeleteService('nicsk32');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
DeleteService('netsik');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('ksi32sk');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteService('fips32cup');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('ati64si');
DeleteService('amd64si');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('acpi32');
QuarantineFile('C:\WINDOWS\mxfjxrtus435tiksr5735dghdsgwy81.exe','');
DeleteService('mxfjxrtus435tiksr5735dghdsgwy80');
QuarantineFile('C:\WINDOWS\mser54waejsrahaetjs6ikaash81.exe','');
DeleteService('mser54waejsrahaetjs6ikaash80');
QuarantineFile('C:\WINDOWS\ksrsr6ikruhjstjash353haaaa2hd81.exe','');
DeleteService('ksrsr6ikruhjstjash353haaaa2hd80');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
DeleteFile('C:\WINDOWS\ksrsr6ikruhjstjash353haaaa2hd81.exe');
DeleteFile('C:\WINDOWS\mser54waejsrahaetjs6ikaash81.exe');
DeleteFile('C:\WINDOWS\mxfjxrtus435tiksr5735dghdsgwy81.exe');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteFile('C:\Documents and Settings\LocalService\LocalService.exe');
DeleteFile('C:\Program Files\Manson\liser.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\as1258.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\systemprofile.exe');
DeleteFile('C:\Documents and Settings\NetworkService\NetworkService.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. Файлы NDIS.sys и Ntfs.sys нужно заменить по этой методике
4. Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Все сделал. Карантин отправил. Пока вроде все нормально.
Вложения
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\ethsugqu.sys','');
DeleteService('ethsugqu');
DeleteFile('C:\WINDOWS\system32\drivers\ethsugqu.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи по п. 2 и 3 диагностики
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Вложения
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('pcm1394');
StopService('isadisk');
StopService('DhcpSrv');
QuarantineFile('C:\WINDOWS\system32\pcm1394.sys','');
QuarantineFile('C:\WINDOWS\system32\isadisk.sys','');
QuarantineFile('C:\WINDOWS\system32\dllhost.exe','');
QuarantineFile('C:\WINDOWS\dhcp\svchost.exe','');
DeleteFile('C:\WINDOWS\system32\pcm1394.sys');
DeleteFile('C:\WINDOWS\system32\isadisk.sys');
DeleteFile('C:\WINDOWS\dhcp\svchost.exe');
DeleteService('pcm1394');
DeleteService('isadisk');
DeleteService('DhcpSrv');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('pcm1394');
BC_DeleteSvc('isadisk');
BC_DeleteSvc('DhcpSrv');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
54
сделано, но почему то не могу прицепить в форуме лог от Hijack
Вложения
Сообщение от
driverx
сделано, но почему то не могу прицепить в форуме лог от Hijack
Вы его по новой сделали или старый закачать пытаетесь?
Junior Member
Вес репутации
54
В логах ничего подозрительного.
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader
Junior Member
Вес репутации
54
Спасибо за помощь. Все вроде работает. SP3 накатим, а IE не пользуюсь. Стоит Opera. Java и Acrobat обновим. Ещё раз спасибо.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 142 В ходе лечения обнаружены вредоносные программы:
c:\program files\trojan remover\rmt.dta.bak - not-a-virus:FraudTool.Win32.Agent.vq c:\windows\system32\dllhost.exe - Trojan.Win32.Agent.ctpp c:\windows\system32\drivers\ntfs.sys - Virus.Win32.Protector.c ( DrWEB: BackDoor.Bulknet.404, BitDefender: Gen:Rootkit.Heur.LmW@fqE90cm )