добрый день!
На шлюзе летит трафик.
Ломится на ДНС провайдера. Логи со шлюза уже присылал Вам - ничего не нашли..
Присылаю лои подозрительного соседнего ПК.
Кстати в логе хайджека увидел ip шлюза (192.168.1.99)
Printable View
добрый день!
На шлюзе летит трафик.
Ломится на ДНС провайдера. Логи со шлюза уже присылал Вам - ничего не нашли..
Присылаю лои подозрительного соседнего ПК.
Кстати в логе хайджека увидел ip шлюза (192.168.1.99)
Уважаемый(ая) [B]Паша101[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!!!
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('newdriver', 4);
StopService('newdriver');
QuarantineFile('C:\WINDOWS\system32\sd3pRDP5.dll','');
QuarantineFile('C:\WINDOWS\goToBed.bat','');
QuarantineFile('C:\WINDOWS\uhtrj.sys','');
DeleteFile('C:\WINDOWS\uhtrj.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('newdriver');
BC_Activate;
RebootWindows(true);
end.[/CODE]
[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]
[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.
- Повторите логи.
- [URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].
[B]FreeRIP Toolbar[/B] сами устанавливали?
выложу пока повторные логи, а то MBAM долго сканирует..его позже прикреплю.
FreeRIP Toolbar до меня еще кто устанавливал наверное..
карантин выслал.
Задание [B]goToBed.job[/B], которое выключает компьютер, в планировщике сами делали?
[quote="Паша101;863817"]FreeRIP Toolbar до меня еще кто устанавливал наверное..[/quote]
Если он Вам не нужен, то удалите...
Ждем MBAM...
[QUOTE=Techno;863825]Задание [B]goToBed.job[/B], которое выключает компьютер, в планировщике сами делали?
Если он Вам не нужен, то удалите...
Ждем MBAM...[/QUOTE]
Да сам делал...
Скоро МБАМ..
я уже не знаю че делать - вчера на шлюзе сделал быструю проверку нашел троян - удалил, хотя до этого делал Полную проверку (выкладывал на вирусинфо)- не находил...
Лог mbam прикрепил
- [URL="http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584"]Удалите в MBAM:[/URL]
[CODE]HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\vykroiki.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
C:\Documents and Settings\server1\Application Data\Sun\Java\Deployment\cache\6.0\56\38f70078-3ad97564 (Trojan.Dropper) -> Действие не было предпринято.[/CODE]
Это все знакомо?
[CODE]C:\Качалка\fscommand\bonus4.exe (Malware.Packer) -> Действие не было предпринято.
C:\Качалка\fscommand\bonus5.exe (Malware.Packer) -> Действие не было предпринято.
Y:\termsrv.dll (Trojan.Downloader) -> Действие не было предпринято.[/CODE]
Что с проблемой?
все удалил, проблема осталась...
- [URL="http://virusinfo.info/showthread.php?t=58309"]Сделайте лог ComboFix[/URL].
Добрый день!
прикрепляю..
Не ответили...
[quote="Techno;863852"]Это все знакомо?
[CODE]C:\Качалка\fscommand\bonus4.exe (Malware.Packer) -> Действие не было предпринято.
C:\Качалка\fscommand\bonus5.exe (Malware.Packer) -> Действие не было предпринято.
Y:\termsrv.dll (Trojan.Downloader) -> Действие не было предпринято.[/CODE][/quote]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Как самочувствие после combofix'а?
[CODE]C:\Качалка\fscommand\bonus4.exe (Malware.Packer) -> Действие не было предпринято.
C:\Качалка\fscommand\bonus5.exe (Malware.Packer) -> Действие не было предпринято.[/CODE]
все удалил на всякий случай
После combofix'а состояние норм.. К ДНС теперь поятоянно не лезет. - НО думаю это просто совпадение, т.к. вчера отключал этот ПК от сети, а коннект к днс все равно на шлюзе был..Я вообще не могу найти закономерность..
Вот бы шлюз еще проверить на combofix - но та тема затухла и никто не помогает...
[quote="Паша101;864075"]все удалил на всякий случай[/quote]
а это тоже не знакомо? [B]Y:\termsrv.dll (Trojan.Downloader) -> Действие не было предпринято.[/B]
- [URL="http://virusinfo.info/showthread.php?t=58309&p=500136&viewfull=1#post500136"]Удалите ComboFix[/URL]
И обновляться Вам срочно надо и проблем сразу станет меньше:)
- Установите [URL="http://windows.microsoft.com/ru-RU/windows/help/learn-how-to-install-windows-xp-service-pack-3-sp3"]SP3[/URL] ([COLOR="#FF0000"]может потребоваться активация[/COLOR]), [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]новый Internet Explorer[/URL], а также все доступные [URL="http://www.update.microsoft.com/"]обновления для Windows[/URL]
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[quote="Паша101;864075"]Вот бы шлюз еще проверить на combofix - но та тема затухла и никто не помогает...[/quote]
В той теме тоже ответил.
Обновляйтесь, потом понаблюдайте и сообщите о результатах...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\uhtrj.sys - [B]Trojan-Banker.Win32.Qhost.mro[/B] ( DrWEB: Trojan.Hosts.5006, BitDefender: Rootkit.52152, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]