Printable View
Здравствуйте!
Имеется ноутбук на котором стоит ХР SP2. Насколько процессов svchost постоянно ломятся куда-то на 25 порт. Полная проверка Касперским ничего не дала. При попытке запустить CureIT как в обычном так и в безопасном режиме - синий экран. Help.
1. Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\NetworkService\NetworkService.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\systemprofile.exe','');
QuarantineFile('C:\WINDOWS\system32\as1258.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Program Files\Manson\liser.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\LocalService.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
DeleteService('ws2_32sik');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
DeleteService('securentm');
QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
DeleteService('protect');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
DeleteService('port135sik');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
DeleteService('nicsk32');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
DeleteService('netsik');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('ksi32sk');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteService('fips32cup');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('ati64si');
DeleteService('amd64si');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('acpi32');
QuarantineFile('C:\WINDOWS\mxfjxrtus435tiksr5735dghdsgwy81.exe','');
DeleteService('mxfjxrtus435tiksr5735dghdsgwy80');
QuarantineFile('C:\WINDOWS\mser54waejsrahaetjs6ikaash81.exe','');
DeleteService('mser54waejsrahaetjs6ikaash80');
QuarantineFile('C:\WINDOWS\ksrsr6ikruhjstjash353haaaa2hd81.exe','');
DeleteService('ksrsr6ikruhjstjash353haaaa2hd80');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
DeleteFile('C:\WINDOWS\ksrsr6ikruhjstjash353haaaa2hd81.exe');
DeleteFile('C:\WINDOWS\mser54waejsrahaetjs6ikaash81.exe');
DeleteFile('C:\WINDOWS\mxfjxrtus435tiksr5735dghdsgwy81.exe');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteFile('C:\Documents and Settings\LocalService\LocalService.exe');
DeleteFile('C:\Program Files\Manson\liser.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\as1258.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\systemprofile.exe');
DeleteFile('C:\Documents and Settings\NetworkService\NetworkService.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
2. Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
3. Файлы [COLOR="Red"]NDIS.sys[/COLOR] и [COLOR="#ff0000"]Ntfs.sys[/COLOR] нужно заменить по [URL="http://virusinfo.info/showthread.php?t=51654"]этой методике[/URL]
4. Сделайте новые логи
Все сделал. Карантин отправил. Пока вроде все нормально.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\ethsugqu.sys','');
DeleteService('ethsugqu');
DeleteFile('C:\WINDOWS\system32\drivers\ethsugqu.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи по п. 2 и 3 диагностики
Все выполнил
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('pcm1394');
StopService('isadisk');
StopService('DhcpSrv');
QuarantineFile('C:\WINDOWS\system32\pcm1394.sys','');
QuarantineFile('C:\WINDOWS\system32\isadisk.sys','');
QuarantineFile('C:\WINDOWS\system32\dllhost.exe','');
QuarantineFile('C:\WINDOWS\dhcp\svchost.exe','');
DeleteFile('C:\WINDOWS\system32\pcm1394.sys');
DeleteFile('C:\WINDOWS\system32\isadisk.sys');
DeleteFile('C:\WINDOWS\dhcp\svchost.exe');
DeleteService('pcm1394');
DeleteService('isadisk');
DeleteService('DhcpSrv');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('pcm1394');
BC_DeleteSvc('isadisk');
BC_DeleteSvc('DhcpSrv');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
сделано, но почему то не могу прицепить в форуме лог от Hijack
[QUOTE=driverx;446298]сделано, но почему то не могу прицепить в форуме лог от Hijack[/QUOTE]
Вы его по новой сделали или старый закачать пытаетесь?
Сделал новый
В логах ничего подозрительного.
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader
Спасибо за помощь. Все вроде работает. SP3 накатим, а IE не пользуюсь. Стоит Opera. Java и Acrobat обновим. Ещё раз спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]142[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\trojan remover\rmt.dta.bak - [B]not-a-virus:FraudTool.Win32.Agent.vq[/B][*] c:\windows\system32\dllhost.exe - [B]Trojan.Win32.Agent.ctpp[/B][*] c:\windows\system32\drivers\ntfs.sys - [B]Virus.Win32.Protector.c[/B] ( DrWEB: BackDoor.Bulknet.404, BitDefender: Gen:Rootkit.Heur.LmW@fqE90cm )[/LIST][/LIST]