суть проблемы такова, при подключенном инете процесс svchost.exe начинает спамить на удаленные адреса на 25 порт, ни как не могу найти эту заразу
Printable View
суть проблемы такова, при подключенном инете процесс svchost.exe начинает спамить на удаленные адреса на 25 порт, ни как не могу найти эту заразу
[URL="http://virusinfo.info/pravila_old.html"][COLOR="blue"]Внимательно прочитайте и аккуратно выполните[/COLOR][/URL]
вот логи прилогаю
1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\ru.secki\wuaucldt.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\DOCUME~1\RU5081~1.SEC\LOCALS~1\Temp\TFRTYIQE.exe','');
DeleteService('TFRTYIQE');
QuarantineFile('c:\windows\system32\wuaucldt.exe','');
TerminateProcessByName('c:\windows\system32\wuaucldt.exe');
DeleteFile('c:\windows\system32\wuaucldt.exe');
DeleteFile('C:\DOCUME~1\RU5081~1.SEC\LOCALS~1\Temp\TFRTYIQE.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('c:\documents and settings\ru.secki\wuaucldt.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
скрипт выполнен, перестал ломиться на 25 порт, спасибо, лог ща вышлю
[QUOTE=sashok60;725512] лог ща вышлю[/QUOTE] 3 лога
[QUOTE=polword;725504]- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR=Blue]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR=Blue][B]MBAM[/B][/COLOR][/URL][/QUOTE]
вот и логи
- [B]quarantine.zip [/B] - удалите из темы
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
- [B][COLOR="Red"]Обязательно!!! Отключите системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
[QUOTE=polword;725504]
- Сделайте лог MBAM[/QUOTE]
- этого лога не вижу
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]