Доброго времени суток, помогите в решении такой проблемы, на компьютере какието вирусы, интернет трафик жрут, постоянно соединяется через service.exe с какимито портами, это видно в фаерволе. Каспер и нод 32 не помогли, что делать??
Printable View
Доброго времени суток, помогите в решении такой проблемы, на компьютере какието вирусы, интернет трафик жрут, постоянно соединяется через service.exe с какимито портами, это видно в фаерволе. Каспер и нод 32 не помогли, что делать??
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('SysmonLogSENS', 4);
SetServiceStart('Google Online Search Service', 4);
StopService('SysmonLogSENS');
StopService('Google Online Search Service');
QuarantineFile('kdjka.exe','');
QuarantineFile('C:\WINDOWS\system32\pokd437.exe','');
QuarantineFile('C:\WINDOWS\system32\acelpdecc.exe','');
QuarantineFile('C:\WINDOWS\system32\winlagan.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('C:\WINDOWS\system\hipsrv.mm','');
DeleteFile('C:\WINDOWS\system\hipsrv.mm');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\system32\winlagan.exe');
DeleteFile('C:\WINDOWS\system32\pokd437.exe');
DeleteFile('kdjka.exe');
DeleteService('SysmonLogSENS');
DeleteService('Google Online Search Service');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
DelBHO('{E0E899AB-F487-11D5-8D29-0050BA6940E3}');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=19821[/url]
Повторите логи
высылаю, карантин, и новые логи, как вы просили
Коллега [b]Numb[/b] обратил внимание на затаившихся зловредов.
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('ccPwdSvcSSDPSRV', 4);
SetServiceStart('Mna33', 4);
SetServiceStart('NdisWon', 4);
StopService('ccPwdSvcSSDPSRV');
StopService('Mna33');
StopService('NdisWon');
QuarantineFile('C:\WINDOWS\system32\1028i.exe','');
QuarantineFile('Mna33.sys','');
QuarantineFile('NdisWon.sys','');
DeleteFile('NdisWon.sys');
DeleteFile('Mna33.sys');
DeleteFile('C:\WINDOWS\system32\1028i.exe');
DeleteService('NdisWon');
DeleteService('ccPwdSvcSSDPSRV');
DeleteService('Mna33');
BC_ImportALL;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=19821[/url]
Повторите логи
Высылаю новый карантин, и новые логи. при выполнение вашего скрипта(2) при перезагрузке, система что то ругалась, это нормально?:) И еще в фаерволе больше не видно, что бы он соединялся с портами
Выполните такой скрипт:
[code]begin
BC_DeleteFile('C:\WINDOWS\system\hipsrv.mm');
BC_DeleteSvc('hipsrv');
BC_Activate;
RebootWindows(true);
end.[/code]
Больше ничего плохого не видно.
Рекомендуется отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\system volume information\\_restore{ef9e4375-fc53-4583-84bc-5b2143e36206}\\rp31\\a0011046.sys - [B]Rootkit.Win32.Agent.aih[/B] (DrWEB: Trojan.Sentinel)[*] c:\\windows\\system32\\acelpdecc.exe - [B]Trojan.Win32.Inject.aet[/B] (DrWEB: BackDoor.IRC.Nite)[*] c:\\windows\\system32\\1028i.exe - [B]Backdoor.Win32.IRCBot.byr[/B] (DrWEB: BackDoor.IRC.Nite)[/LIST][/LIST]