Комп постоянно шлёт пакеты на 25 порт, при проверке AVZ находит файл nst56.sys в модуле пространства ядра. Как от него избавиться?
Printable View
Комп постоянно шлёт пакеты на 25 порт, при проверке AVZ находит файл nst56.sys в модуле пространства ядра. Как от него избавиться?
Выполните [URL="http://virusinfo.info/showthread.php?t=1235"]правила оформления запроса[/URL].
Вот Логи
Кома постоянно шлёт на 25 порт
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('protect');
SetServiceStart('protect', 4);
StopService('Nst56');
SetServiceStart('Nst56', 4);
QuarantineFile('C:\WINDOWS\system32\hg543fdg.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Nst56.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Nst56.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\hg543fdg.dll');
DelBHO('{B2AC49A2-94F3-42BD-F434-2604812C897D}');
BC_ImportALL;
BC_DeleteSvc('protect');
BC_DeleteSvc('Nst56');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=16548[/url]).
Сделайте новые логи.
Зачем тему дублируете?
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Nst56\0000', 'CSConfigFlags', '1');
QuarantineFile('C:\WINDOWS\system32\hg543fdg.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
StopService('protect');
SetServiceStart('protect', 4);
QuarantineFile('C:\WINDOWS\System32\drivers\Nst56.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Nst56.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\hg543fdg.dll');
DelBHO('{B2AC49A2-94F3-42BD-F434-2604812C897D}');
BC_DeleteSvc('Nst56');
BC_DeleteSvc('protect');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи ....
Ничего не помогло, только комп стал глючить(выскакивает экран смерти периодически и сам перегружается ) ещё раз делаю логи и выкладываю.
Попробуем такой скрипт:
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Nst56', 'Start');
BC_QrFile('C:\WINDOWS\System32\drivers\Nst56.sys');
BC_DeleteSvc('Nst56');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Nst56.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
и снова лог syscheck.