Сразу после загрузки работают все исходящие соединения, через некоторое время по 80 порту никуда не пускает, остальные соединения работают. Заблокированы все входящие соединения.
Брандмауэр сбрасывал, отключал, - не помогает
SVCHOST отправляет пакеты на ноды TOR'a
подозреваю, что комп стал частью ботнета
винду сносить - очень геморно, комп с кучей бухгалтерского стафа.
хелп нидед, горит отпуск (((
если чего по первости не доделал, отпишите плз, очень надо
Последний раз редактировалось MetriX; 25.03.2010 в 13:01.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сделать логи AVZ и HiJack в нормальном режиме, а не в безопасном
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вот. сделал
Последний раз редактировалось MetriX; 25.03.2010 в 13:01.
Логи должны быть в количестве три штуки (внимательно правила читаем). И выкладывать их не одним архивом, а прикреплять по очереди
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\drivers\929e8197.sys',''); DeleteFile('C:\WINDOWS\System32\drivers\929e8197.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
скрипт выполнил, карантин выслал, логи переделал
Последний раз редактировалось MetriX; 25.03.2010 в 13:01.
-Пофиксите
Отключите COMODO и выполните скрипт в AVZКод:O20 - Winlogon Notify: selog - selog.dll (file missing)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\drivers\929e8197.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Сделайте лог GMER
- Повторите действия, описанные в п. 2 и 3 Диагностики и новые логи прикрепите к новому сообщению.
gmer пока сканирует, но я вижу в логе уже, что есть драйвер от zone alarm internet sequrity (как-то так оно называется). стояла пробная версия и её снесли, видимо, не до конца.
можно ли просто удалить файл vsdatant.sys из system32 или надо подчищать еще следы? может ли этот драйвер блокировать трафик?
логи во вложении
virusinfo_syscure.zip что-то не прикладывается
хотэтэпэ://metrix.net.ru/virusinfo_syscure.zip
положил у себя
Последний раз редактировалось MetriX; 25.03.2010 в 13:01.
Второй раз видно пытались приложитьСообщение от MetriX
Ничего подозрительного в логах
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
проблема решена
всё дело оказалось в остатках гадкой zone alarm
удалил псевдоустройство vsdatant, драйвера и библиотеки зон алярма, ссылки на них из реестра (только в безопасном режиме, в обычном не даёт удалять)
в любом случае, спасибо за наводку! побочно таки зачистилось пару зараз, которые сразу не обнаруживались!
Последний раз редактировалось MetriX; 13.08.2009 в 10:33.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) MetriX, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
