Файервол показыват на постоянные запросы на соединения от svchost.exe.
Запреты файервола и антивирусы не помогают.
Помогите пожалуйста!
Заранее спасибо!
Printable View
Файервол показыват на постоянные запросы на соединения от svchost.exe.
Запреты файервола и антивирусы не помогают.
Помогите пожалуйста!
Заранее спасибо!
Вот файлы...
AVZ - Файл - Выполнить скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\bva1.tmp','');
QuarantineFile('c:\progra~1\micros~3\rapimgr.exe','');
QuarantineFile('c:\windows\system32\msasvc.exe','');
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин AVZ в соответствии с Приложением 2, начиная с пункта 5. Ссылка на тему: [url]http://virusinfo.info/showthread.php?t=7492[/url]
Файл сохранён как 070115_025050_virus_45ab406a3683c.zip
Размер файла 254144
MD5 d5b6f300f89deb2e644479cbe54c791a
C:\WINDOWS\TEMP\bva1.tmp - Virus.Win32.Parite.a ( по Касперскому )
c:\windows\system32\msasvc.exe - Trojan.Starter.138 ( по DrWeb )
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\TEMP\bva1.tmp');
DeleteFile('c:\windows\system32\msasvc.exe');
DeleteFile('C:\WINDOWS\system32\lzx32.sys');
DeleteFile('C:\WINDOWS\system32:lzx32.sys');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\PE386');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\PE386');
RegKeyDel('HKEY_LOCAL_MACHINE', 'system\currentcontrolset\services\lzx32');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\lzx32');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\msguard');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\msguard');
ExecuteSysClean;
AutoFixSPI;
BC_DeleteSvc('ntio256');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте новые логи и добавьте к ним файл boot_clr.log из корневой папки AVZ. В файле HOSTS строки сами прописывали? Если нет - программа AVZ - сервис - менеджер файла Hosts - оставьте только строку [code]127.0.0.1 localhost[/code]
Для лечения [B][U]Virus.Win32.Parite[/U][/B] загрузитесь в безопасном режиме и просканируйте все диски антивирусным сканером как минимум пару раз, при этом нельзя запускать ничего, во избежании повторного заражения исполняемых файлов.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\msasvc.exe - [B]Trojan-PSW.Win32.Sinowal.bw[/B] (DrWEB: Trojan.Starter.138)[*] c:\\windows\\temp\\bva1.tmp - [B]Virus.Win32.Parite.a[/B] (DrWEB: Win32.Parite.1)[/LIST][/LIST]