-
Вложений: 2
Вирус из под svchost.exe
Какой то вирус, как я подключаюсь к интернету, качает себе подобных . В результате чего:
1. не всегда но часто вылезает окошко антивира о том что в временых файлах вирус.
2. Всегда вылезает окошко : svchost.exe - инструкция по адресу 0x13154535 обратилась к памяти по адресу 0x00000000. (если закрыть не закрывается).
При этов в оутпосте (в режиме выключен):
Код
15:54:04 svchost.exe ИСХ UDP 217.14.192.170 DNS Режим бездействия
15:54:02 svchost.exe ИСХ UDP 217.14.192.170 DNS Режим бездействия
15:53:43 Недоступно ВХОД TCP 216.195.58.13 2513 Режим бездействия
15:53:01 Недоступно ВХОД TCP 216.195.58.13 2513 Режим бездействия
15:52:39 Недоступно ВХОД TCP 216.195.58.13 2513 Режим бездействия
15:52:19 Недоступно ВХОД TCP 216.195.58.13 2513 Режим бездействия
15:51:15 Недоступно ВХОД UDP 217.114.159.91 4998 Режим бездействия
15:50:18 NETBIOS ИСХ UDP 216.195.58.13 NETBIOS_NS Режим бездействия
15:50:18 Недоступно ВХОД ICMP 216.195.58.13 Получатель недоступен/3 Режим бездействия
15:50:07 svchost.exe ИСХ UDP 217.14.192.170 DNS Режим бездействия
15:48:18 svchost.exe ИСХ TCP mail7.digitalwaves.co.nz SMTP Режим бездействия
15:48:16 svchost.exe ИСХ TCP 66.111.4.75 SMTP Режим бездействия
15:48:16 svchost.exe ИСХ UDP 192.203.230.10 DNS Режим бездействия
15:48:16 svchost.exe ИСХ TCP gsmtp183.google.com SMTP Режим бездействия
15:48:16 svchost.exe ИСХ UDP 128.8.10.90 DNS Режим бездействия
15:48:16 svchost.exe ИСХ TCP gmail-smtp-in.l.google.com SMTP Режим бездействия
15:48:16 svchost.exe ИСХ TCP mxs.mail.ru SMTP Режим бездействия
15:48:16 svchost.exe ИСХ TCP 216.195.58.13 2513 Режим бездействия
15:48:16 svchost.exe ИСХ UDP 193.0.14.129 DNS Режим бездействия
15:48:01 Недоступно ВХОД TCP 193.138.232.17 38898 Режим бездействия
15:47:39 Недоступно ВХОД UDP 92.101.29.130 1676 Режим бездействия
15:44:59 NETBIOS ВХОД UDP 192.168.87.77 NETBIOS_DGM Режим бездействия
15:44:55 svchost.exe ИСХ UDP 217.14.192.170 DNS Режим бездействия
15:44:55 svchost.exe ИСХ UDP 217.14.192.170 DNS Режим бездействия
+ svchost.exe открывает постепенно порты. Когда заметил было 900портов ((, когда пишу это сообщение 2000портов (где то через 10 мин)
До появления вируса, в системе был антивир - аваст, и оутпост (тока я его всегда выключал, т.к. комп слишком слабый - лагает).
Впервые заметил:
В процессах висел интернет эксплоуер. НЕсколько раз проверив на вирусы, удалил ослика >_<.
Немного пошарив в процессех нашел один процес под именем svchost.exe - но был ваще левый файл. Проверил через инет , был какой то вирус (описания не нашел), удалил (причем аваст его не находил - ни мой, ни на _http://virusscan.jotti.org/).
После этого Начала вылезать ошибка, о которой говоиться в первом посте.
Сейчас стоит НОД 3 с файерволом. Немного поколдовав с файерволом. Сейчас сижу в инете спокойно.
Делал проверку нодом - не че не нашел.
Устанавливал Anti Trojan Elite , SpywareTerminator - тоже без результатов.
"что делать???"
з.ы. надеюсь не слишком много написал???
-
_http://virusinfo.info/showthread.php?t=22173
сдаеться мне что у меня такая же проблема. Что скажут админы?
-
virusinfo_cure.zip - карантин, удалите его, он здесь не нужен. В правилах написано virusinfo_syscure.zip
Отключите антивирус.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinNt32.dll','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Yfk84.sys','');
QuarantineFile('C:\WINDOWS.0\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Ekq27.sys','');
QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\cv2k1.sys','');
QuarantineFile('wscsvcBrowser.sys','');
QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\wscsvcBrowser.sys','');
QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS.0\0\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINDOWS.0\system32\WinNt32.dll','');
DeleteFile('C:\WINDOWS.0\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS.0\system32\DRIVERS\cv2k1.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Ekq27.sys');
DeleteFile('C:\WINDOWS.0\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Yfk84.sys');
DeleteFile('WinNt32.dll');
DelWinlogonNotifyByKeyName('WinNt32');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Yfk84');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('CV2K1');
BC_DeleteSvc('Ekq27');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=23389[/url] ).
Сделайте новые логи.
-
Вложений: 2
Скрипт сделал в безопастном режиме. (в обычном че то ошибку выдавал.)
В карантине выбрал все файлы и отослал.
При включении инета без файервола, вроде все норм кроме:
svchost.exe ИСХ UDP 217.14.192.170 DNS (скачивает с инета 4 килобайта :) )
virusinfo_syscure.zip немогу найти :( есть только virusinfo_cure.zip
-
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows.0\\system32\\winnt32.dll - [B]Trojan-Downloader.Win32.Mutant.yq[/B] (DrWEB: BackDoor.Bulknet.203)[/LIST][/LIST]
Page generated in 0.00630 seconds with 10 queries