Printable View
В локальной сети машина с 445 порта , посылает запросы на внешние ip адреса.
1. Просканил live cd касперским последним - ничего не нашел
2. avp tool в безопасном режиме
3. spybot в обычном режиме
4. Последние обновления через windows update установлены. Было не активно окно настройки "автоматических обновлений". Удаление AUOptions помогло. Мера отсюда - [url]http://www.winline.ru/forum/forum1/topic209/messages/[/url]
Уважаемый(ая) [B]GooDDopE[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
[CODE]
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\NetPanel\IEHelper.dll','');
DeleteFile('C:\Program Files\NetPanel\IEHelper.dll');
DelBHO('CE7C3CF0-4B15-11D1-ABED-709549C10000');
DeleteFileMask('C:\Program Files\NetPanel', '*.*', true);
DeleteDirectory('C:\Program Files\NetPanel');
WhatService('afnrqqh');
WhatService('nrgeseus');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
SaveLog(GetAVZDirectory+'avz.log');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
Файл avz.log из папки AVZ приложите к следующему сообщению.
1. Карантин загрузил.
2. Все остальные файлы логи сделал, приложил.
До сих пор спамит.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ati6bexx');
DeleteService('ati3ycxx');
DeleteService('ati3imxx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6bexx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3ycxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3imxx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showpost.php?p=351873&postcount=1"]gmer[/url]
Все сделал...
1. Откройте [b]Блокнот[/b] и скопируйте в него текст скрипта
[CODE]sg3rzgjz.exe -del service afnrqqh
sg3rzgjz.exe -del service nrgeseus
sg3rzgjz.exe -del file "C:\WINDOWS\system32\flixke.dll"
sg3rzgjz.exe -del file "C:\Documents and Settings\IVIvchenko\Local Settings\Temporary Internet Files\Content.IE5\Z5FALORA\checknew[1].txt"
sg3rzgjz.exe -del file "C:\Documents and Settings\IVIvchenko\Local Settings\Temporary Internet Files\Content.IE5\Z5FALORA\expand_nor[1]"
sg3rzgjz.exe -del file "C:\Documents and Settings\IVIvchenko\Local Settings\Temporary Internet Files\Content.IE5\Z5FALORA\collapse_hvr[1]"
sg3rzgjz.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\afnrqqh"
sg3rzgjz.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nrgeseus"
sg3rzgjz.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\afnrqqh"
sg3rzgjz.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\nrgeseus"
sg3rzgjz.exe -reboot[/CODE]2. Нажмите [b]Файл[/b] - [b]Сохранить как[/b]
3. Выберите папку, в которую сохранили [b]sg3rzgjz.exe[/b] (gmer)
4. Укажите [b]Тип файла[/b] - [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]cleanup.bat[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите [b]cleanup.bat[/b]
[color="red"][b]ВНИМАНИЕ:[/b][/color] Компьютер перезагрузится!!!
Сделайте новый лог gmer
выполнил вышеуказанное...
Лог в порядке
Установите все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
В первом сообщении я говорил , что была проблема с обновлениями , но в итоге все обновления установились. 445 порт продолжает спамить на внешние ip адреса.
вот как это выглядит... вложенный файл...
P.S. было обнаружено , что при отключении "Служба доступа к файлам и принтерам сетей Microsoft" проблема исчезает... Переустановка службы - не помогла !!! Еще появилась странная активность с 3389 порта в 91.218.87.247 на множество портов и соединение ESTABLISHED , при выполнении команды netstat -bn , "неизвестный компонент svhost.exe" !
1. Была сделана виртуальная машина на сервере и она [B]не[/B] флудила !
2. После замены сетевой карты флуд на (локальной) машине прекратился ...
Кто встречался с подобной проблемой , поделитесь ... Очень интересно из-за чего это ...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]