Printable View
Регулярно запускаемый CureIT уже пару недель находит что-то. В том числе и новое. Сеть пропадает, компьютер тормозит - симптомы все время разные. Часто. То-ли downloader хитрый, то-ли система совсем дырявая, то-ли кто-то упорно тыкает в зараженный файл или ссылку:). Нужно определиться. ПосмОтрите?
выполните скрипт
[code]
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\rynxo.dll');
QuarantineFile('c:\windows\mslsrv32.exe','');
DeleteFile('c:\windows\mslsrv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
полечитесь так [url]http://www.kaspersky.ru/news?id=207732936[/url]
повторите логи + такой [url]http://www.gmer.net/[/url]
mslsrv32.ex еще вчера выслан на z-oleg.com, по DrWeb это IRC.BOT, но я повторю:), rynxo.dll - Kido уже давно убит, только сегодня опять возникло.
Сейчас.
Гмер долгий очень. Дотошный:). Кидо в первых стрчках Гмера видно - раньше не было, опять появился. Но для чистоты эксперимента трогать ничего не буду, рассказывайте:).
С логами и карантинами получилось? Сеть отваливается.
Лог Гмера не прикрепился...
Не знаю, отправится ли это сообщение - хотелось бы с этого компа этот комп вылечить. Где логи - не знаю. Несколько минут ждал, пока загрузятся. Syschekа хватит?
[size="1"][color="#666686"][B][I]Добавлено через 32 секунды[/I][/B][/color][/size]
Попробую.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
[CODE]gmer.exe -del service ezmjmkg
gmer.exe -del service lspvwzcfp
gmer.exe -del file "C:\WINDOWS\system32\rynxo.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ezmjmkg"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\lspvwzcfp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kwekqcpxr"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ezmjmkg"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\lspvwzcfp"
gmer.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer (есть версия и поновее)
Что-то нехорошее с Вирусинфо. Во вложениях и сискуре был. Не прикрепился. Так и должно быть? Почему? Или я в чем-то ошибся? В чем?
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Хорошо. Кидо мы убьем:). Там еще.
[QUOTE='Max84;487837']Что-то нехорошее с Вирусинфо[/QUOTE]Возможно проделки Kido :)
Вот.
Железо - вряд-ли, я эту железку регулярно быстро бегающей видел.
где ?
[QUOTE]Сделать новый лог gmer (есть версия и поновее)[/QUOTE]
Вот. Краем глаза кроме хекса я только алкоголь увидел - он по-человечьи написан....
выполните
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\mslsrv32.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Kido вроде убили... после перезагрузки лог virusinfo_syscure повторите
Вот.
есть жалобы ?
Да, все это было. Был и Kido давно убитый и Delf.owo настырный и еще пачка всего. Сейчас ничего. Значит:
>то-ли система совсем дырявая, то-ли кто-то упорно тыкает в зараженный файл или ссылку. Нужно определиться.
Определяемся:). Спасибо. Это значит не я такой глупый, это соседу нужно руки по пояс оторвать:).
Спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\mslsrv32.exe - [B]Backdoor.Win32.SdBot.psd[/B] ( DrWEB: BackDoor.IRC.Sdbot.5190, BitDefender: Backdoor.Bot.107815, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]