-
Junior Member
- Вес репутации
- 54
Сразу после загрузки работают все исходящие соединения, через некоторое время по 80 порту никуда не пускает, остальные соединения работают. Заблокированы все входящие соединения.
Брандмауэр сбрасывал, отключал, - не помогает
SVCHOST отправляет пакеты на ноды TOR'a
подозреваю, что комп стал частью ботнета
винду сносить - очень геморно, комп с кучей бухгалтерского стафа.
хелп нидед, горит отпуск (((
если чего по первости не доделал, отпишите плз, очень надо
Последний раз редактировалось MetriX; 25.03.2010 в 13:01.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сделать логи AVZ и HiJack в нормальном режиме, а не в безопасном
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось MetriX; 25.03.2010 в 13:01.
-
Логи должны быть в количестве три штуки (внимательно правила читаем). И выкладывать их не одним архивом, а прикреплять по очереди
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\929e8197.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\929e8197.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
скрипт выполнил, карантин выслал, логи переделал
Последний раз редактировалось MetriX; 25.03.2010 в 13:01.
-
-Пофиксите
Код:
O20 - Winlogon Notify: selog - selog.dll (file missing)
Отключите COMODO и выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\drivers\929e8197.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
Компьютер перезагрузится.
- Очистите темп-папки, кэш проводников и корзину.
- Сделайте лог GMER
- Повторите действия, описанные в п. 2 и 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 54
gmer пока сканирует, но я вижу в логе уже, что есть драйвер от zone alarm internet sequrity (как-то так оно называется). стояла пробная версия и её снесли, видимо, не до конца.
можно ли просто удалить файл vsdatant.sys из system32 или надо подчищать еще следы? может ли этот драйвер блокировать трафик?
логи во вложении
virusinfo_syscure.zip что-то не прикладывается
хотэтэпэ://metrix.net.ru/virusinfo_syscure.zip
положил у себя
Последний раз редактировалось MetriX; 25.03.2010 в 13:01.
-
Сообщение от
MetriX
virusinfo_syscure.zip что-то не прикладывается
Второй раз видно пытались приложить
Ничего подозрительного в логах
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
проблема решена
всё дело оказалось в остатках гадкой zone alarm
удалил псевдоустройство vsdatant, драйвера и библиотеки зон алярма, ссылки на них из реестра (только в безопасном режиме, в обычном не даёт удалять)
в любом случае, спасибо за наводку! побочно таки зачистилось пару зараз, которые сразу не обнаруживались!
Последний раз редактировалось MetriX; 13.08.2009 в 10:33.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-