Постоянно висит в диспетчере задач. А также постоянно появляются файлы 45.exe, 43.scr и т.д. С компьютера постоянно идут сетевые атаки
Intrusion.Win.NETAPI.buffer-overflow.exploit...
Постоянно висит в диспетчере задач. А также постоянно появляются файлы 45.exe, 43.scr и т.д. С компьютера постоянно идут сетевые атаки
Intrusion.Win.NETAPI.buffer-overflow.exploit...
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINNT\ggdrive32.exe',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe',''); QuarantineFile('C:\RECYCLER\S-51-9-25-3434974274-1472494965-644317114-1374\bszhbt.exe',''); DeleteFile('C:\WINNT\system32\16.exe'); DeleteFile('C:\WINNT\system32\36.exe'); DeleteFile('C:\WINNT\system32\45.exe'); DeleteFile('C:\WINNT\system32\65.exe'); DeleteFile('C:\WINNT\system32\71.exe'); DeleteFile('C:\WINNT\system32\85.exe'); DeleteFile('C:\WINNT\ggdrive32.exe'); DeleteFile('C:\RECYCLER\S-51-9-25-3434974274-1472494965-644317114-1374\bszhbt.exe'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); BC_ImportAll; ExecuteSysClean; BC_ServiceKill('kixesm'); BC_Activate; SetServiceStart('RemoteRegistry', 4); SetServiceStart('Alerter', 4); SetServiceStart('Messenger', 4); ExecuteWizard('TSW',2,3,true); RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=98169).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Выполнил скрипт в АВЗ. Слетел Winroute =( Как его поднять?
Добавлено через 4 минуты
А еще когда выбираю Просмотр файлов на карантине, там пусто...
Последний раз редактировалось spec4pz; 15.02.2011 в 11:40. Причина: Добавлено
Делайте новые логи, будем смотреть дальше.
I am not young enough to know everything...
Вот логи
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635853}'); QuarantineFile('C:\RECYCLER\S-51-9-25-3434974274-1472494965-644317114-1374\bszhbt.exe',''); QuarantineFile('C:\WINNT\system32\21.exe',''); QuarantineFile('C:\WINNT\system32\22.exe',''); QuarantineFile('C:\WINNT\system32\23.exe',''); QuarantineFile('C:\WINNT\system32\61.exe',''); QuarantineFile('C:\WINNT\system32\67.exe',''); QuarantineFile('C:\WINNT\system32\73.exe',''); QuarantineFile('C:\WINNT\system32\77.exe',''); QuarantineFile('C:\WINNT\system32\82.exe',''); QuarantineFile('C:\WINNT\system32\84.exe',''); DeleteFile('C:\WINNT\system32\21.exe'); DeleteFile('C:\WINNT\system32\22.exe'); DeleteFile('C:\WINNT\system32\23.exe'); DeleteFile('C:\WINNT\system32\61.exe'); DeleteFile('C:\WINNT\system32\67.exe'); DeleteFile('C:\WINNT\system32\73.exe'); DeleteFile('C:\WINNT\system32\82.exe'); DeleteFile('C:\WINNT\system32\84.exe'); DeleteFile('C:\RECYCLER\S-51-9-25-3434974274-1472494965-644317114-1374\bszhbt.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; end.
Перезагрузите сервер вручную
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Новые логи.
карантин загрузил.
Вот такая байда выскакивает при попытке залогиниться в WinRoute
Удалите это:
C:\WINNT\system32\62.exe
C:\WINNT\system32\77.exe
Если в папке есть еще такие цифровые ехе-шники, их тоже удалите.
Больше ничего плохого в логах не видно.
Насчет WinRoute - непонятно, почему он так себя ведет, его никто не трогал.
I am not young enough to know everything...
1. Файлы я удаляю каждый раз. Они постепенно появляются снова и снова. Не знаю с чем это связано.
2. По поводу WinRoute. Значит скрипт AVZ тут не причем? Эта ошибка появилась как раз после перезагрузки компьютера... Я считал что это скрипт виноват... Есть идеи с чем может быть связан сей факт?
Зловред, который мы с Вами лечили, не что иное как сетевой червь. А проникает он через дыру в системе. Можно ли ее закрыть - большой вопрос, ведь Win2k уже не поддерживается, если не ошибаюсь. Поставьте все доступные обновления безопасности, если это не спасет - наверно придется подумать о переходе на что-то более современное.
К сожалению, нет.
I am not young enough to know everything...
А также
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\winnt\\system32\\21.exe - Net-Worm.Win32.Kolab.tub ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5896152, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
- c:\\winnt\\system32\\22.exe - Net-Worm.Win32.Kolab.tub ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5896152, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
- c:\\winnt\\system32\\23.exe - Net-Worm.Win32.Kolab.tub ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5896152, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
- c:\\winnt\\system32\\61.exe - Net-Worm.Win32.Kolab.tub ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5896152, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
- c:\\winnt\\system32\\67.exe - Net-Worm.Win32.Kolab.tvv ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
- c:\\winnt\\system32\\73.exe - Net-Worm.Win32.Kolab.tub ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5896152, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
- c:\\winnt\\system32\\77.exe - Net-Worm.Win32.Kolab.tvv ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
- c:\\winnt\\system32\\82.exe - Net-Worm.Win32.Kolab.tvv ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
- c:\\winnt\\system32\\84.exe - Net-Worm.Win32.Kolab.tvv ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
Уважаемый(ая) spec4pz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.