Добрый день.
В целом комп работает удовлетворительно,
но по netstat -a выдает список соединений к куче разных серверов.
Похоже трояны сидят.
Прошу помочь.
Printable View
Добрый день.
В целом комп работает удовлетворительно,
но по netstat -a выдает список соединений к куче разных серверов.
Похоже трояны сидят.
Прошу помочь.
Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\Best\ctfmon.exe','');
QuarantineFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0070636.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0069622.sys','');
QuarantineFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0068623.sys','');
QuarantineFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0068622.sys','');
QuarantineFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0068611.sys','');
QuarantineFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0068610.sys','');
QuarantineFile('obdnxl.sys','');
TerminateProcessByName('c:\documents and settings\best\Рабочий стол\7l6qxfd5.exe');
QuarantineFile('c:\documents and settings\best\Рабочий стол\7l6qxfd5.exe','');
TerminateProcessByName('c:\docume~1\best\locals~1\temp\rarsfx0\27hf4xp.exe');
QuarantineFile('c:\docume~1\best\locals~1\temp\rarsfx0\27hf4xp.exe','');
DeleteFile('c:\docume~1\best\locals~1\temp\rarsfx0\27hf4xp.exe');
DeleteFile('c:\documents and settings\best\Рабочий стол\7l6qxfd5.exe');
DeleteFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0068610.sys');
DeleteFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0068611.sys');
DeleteFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0068622.sys');
DeleteFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0068623.sys');
DeleteFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0069622.sys');
DeleteFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0070636.exe:userini.exe:$DATA');
DeleteFile('C:\Documents and Settings\Best\ctfmon.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи повторить.
Добрый день!
Выкладываю!
Жалобы есть?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\best\ctfmon.exe - [B]P2P-Worm.Win32.Palevo.fuc[/B] ( DrWEB: Trojan.Packed.20388, BitDefender: Gen:Variant.Palevo.6 )[/LIST][/LIST]