Есть подозрения на kdmgn.exe, антивирусы его не видят. Помогите удалить. Логи во вложении. Заранее благодарен.
Printable View
Есть подозрения на kdmgn.exe, антивирусы его не видят. Помогите удалить. Логи во вложении. Заранее благодарен.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\kdmgn.exe','');
QuarantineFile('C:\WINDOWS\system32\msxml71.dll','');
QuarantineFile('Patch.exe','');
DeleteFile('C:\WINDOWS\system32\kdmgn.exe');
DeleteFile('C:\WINDOWS\system32\msxml71.dll');
DelBHO('500BCA15-57A7-4eaf-8143-8C619470B13D');
BC_ImportALL;
SysCleanAddFile('kdmgn.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=30889[/url] ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Из автозагрузки он пропал, прописал свои DNS - пока не меняются:), а прописывались вот эти ns- 85.255.115.78,85.255.112.212. Высылаю логи после скрипта. Единственное, комп не хочет выключаться).
Вот это Вам знакомо?:
[code]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.21.254:3128
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = umaco.org
O17 - HKLM\Software\..\Telephony: DomainName = umaco.org
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD90E3F0-7384-40CB-A9D6-25862B7F9937}: NameServer = 85.255.115.78,85.255.112.212
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = umaco.org
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = umaco.org
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = umaco.org[/code]
Если что-то незнакомо, то [url=http://virusinfo.info/showthread.php?t=4491]пофиксите в HijackThis[/url] те строчки отсюда, которые незнакомы.
Перезагрузите компьютер. Сделайте новый лог HijackThis.
да, это наш домен.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Благодарю за помощь, наюсь избавились оканчательно.))Спасибо.
[QUOTE=need;288936]да, это наш домен.[/QUOTE]
А вот это:
[code]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.21.254:3128
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD90E3F0-7384-40CB-A9D6-25862B7F9937}: NameServer = 85.255.115.78,85.255.112.212[/code]
?
Если что-то незнакомо - фиксите, потом перезагрузите компьютер. Затем прикрепите новый лог HijackThis.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\kdmgn.exe - [B]Trojan.Win32.Agent.aezj[/B] (DrWEB: Trojan.DnsChange.991)[*] c:\\windows\\system32\\msxml71.dll - [B]Trojan.Win32.Agent.aezk[/B] (DrWEB: Trojan.Packed.191)[/LIST][/LIST]