-
Junior Member
- Вес репутации
- 53
Хаос:).
Регулярно запускаемый CureIT уже пару недель находит что-то. В том числе и новое. Сеть пропадает, компьютер тормозит - симптомы все время разные. Часто. То-ли downloader хитрый, то-ли система совсем дырявая, то-ли кто-то упорно тыкает в зараженный файл или ссылку. Нужно определиться. ПосмОтрите?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\rynxo.dll');
QuarantineFile('c:\windows\mslsrv32.exe','');
DeleteFile('c:\windows\mslsrv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
полечитесь так http://www.kaspersky.ru/news?id=207732936
повторите логи + такой http://www.gmer.net/
-
-
Junior Member
- Вес репутации
- 53
mslsrv32.ex еще вчера выслан на z-oleg.com, по DrWeb это IRC.BOT, но я повторю, rynxo.dll - Kido уже давно убит, только сегодня опять возникло.
Сейчас.
-
Junior Member
- Вес репутации
- 53
Гмер долгий очень. Дотошный. Кидо в первых стрчках Гмера видно - раньше не было, опять появился. Но для чистоты эксперимента трогать ничего не буду, рассказывайте.
С логами и карантинами получилось? Сеть отваливается.
-
Лог Гмера не прикрепился...
-
-
Junior Member
- Вес репутации
- 53
Не знаю, отправится ли это сообщение - хотелось бы с этого компа этот комп вылечить. Где логи - не знаю. Несколько минут ждал, пока загрузятся. Syschekа хватит?
Добавлено через 32 секунды
Попробую.
Последний раз редактировалось Max84; 17.10.2009 в 14:53.
Причина: Добавлено
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
Код:
gmer.exe -del service ezmjmkg
gmer.exe -del service lspvwzcfp
gmer.exe -del file "C:\WINDOWS\system32\rynxo.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ezmjmkg"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\lspvwzcfp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kwekqcpxr"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ezmjmkg"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\lspvwzcfp"
gmer.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer (есть версия и поновее)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Что-то нехорошее с Вирусинфо. Во вложениях и сискуре был. Не прикрепился. Так и должно быть? Почему? Или я в чем-то ошибся? В чем?
Добавлено через 1 минуту
Хорошо. Кидо мы убьем. Там еще.
Последний раз редактировалось Max84; 17.10.2009 в 14:58.
Причина: Добавлено
-
Сообщение от
Max84
Что-то нехорошее с Вирусинфо
Возможно проделки Kido
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Вот.
Железо - вряд-ли, я эту железку регулярно быстро бегающей видел.
-
где ?
Сделать новый лог gmer (есть версия и поновее)
-
-
Junior Member
- Вес репутации
- 53
Вот. Краем глаза кроме хекса я только алкоголь увидел - он по-человечьи написан....
-
выполните
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\mslsrv32.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Kido вроде убили... после перезагрузки лог virusinfo_syscure повторите
-
-
Junior Member
- Вес репутации
- 53
-
-
-
Junior Member
- Вес репутации
- 53
Да, все это было. Был и Kido давно убитый и Delf.owo настырный и еще пачка всего. Сейчас ничего. Значит:
>то-ли система совсем дырявая, то-ли кто-то упорно тыкает в зараженный файл или ссылку. Нужно определиться.
Определяемся. Спасибо. Это значит не я такой глупый, это соседу нужно руки по пояс оторвать.
Спасибо.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\mslsrv32.exe - Backdoor.Win32.SdBot.psd ( DrWEB: BackDoor.IRC.Sdbot.5190, BitDefender: Backdoor.Bot.107815, AVAST4: Win32:Trojan-gen )
-