-
Junior Member
- Вес репутации
- 47
Помогите с вирусом
В локальной сети машина с 445 порта , посылает запросы на внешние ip адреса.
1. Просканил live cd касперским последним - ничего не нашел
2. avp tool в безопасном режиме
3. spybot в обычном режиме
4. Последние обновления через windows update установлены. Было не активно окно настройки "автоматических обновлений". Удаление AUOptions помогло. Мера отсюда - http://www.winline.ru/forum/forum1/topic209/messages/
Последний раз редактировалось GooDDopE; 28.06.2011 в 16:41.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) GooDDopE, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
Код:
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\NetPanel\IEHelper.dll','');
DeleteFile('C:\Program Files\NetPanel\IEHelper.dll');
DelBHO('CE7C3CF0-4B15-11D1-ABED-709549C10000');
DeleteFileMask('C:\Program Files\NetPanel', '*.*', true);
DeleteDirectory('C:\Program Files\NetPanel');
WhatService('afnrqqh');
WhatService('nrgeseus');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
SaveLog(GetAVZDirectory+'avz.log');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
Файл avz.log из папки AVZ приложите к следующему сообщению.
-
-
Junior Member
- Вес репутации
- 47
1. Карантин загрузил.
2. Все остальные файлы логи сделал, приложил.
До сих пор спамит.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ati6bexx');
DeleteService('ati3ycxx');
DeleteService('ati3imxx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6bexx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3ycxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3imxx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Сделайте лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
-
1. Откройте Блокнот и скопируйте в него текст скрипта
Код:
sg3rzgjz.exe -del service afnrqqh
sg3rzgjz.exe -del service nrgeseus
sg3rzgjz.exe -del file "C:\WINDOWS\system32\flixke.dll"
sg3rzgjz.exe -del file "C:\Documents and Settings\IVIvchenko\Local Settings\Temporary Internet Files\Content.IE5\Z5FALORA\checknew[1].txt"
sg3rzgjz.exe -del file "C:\Documents and Settings\IVIvchenko\Local Settings\Temporary Internet Files\Content.IE5\Z5FALORA\expand_nor[1]"
sg3rzgjz.exe -del file "C:\Documents and Settings\IVIvchenko\Local Settings\Temporary Internet Files\Content.IE5\Z5FALORA\collapse_hvr[1]"
sg3rzgjz.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\afnrqqh"
sg3rzgjz.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nrgeseus"
sg3rzgjz.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\afnrqqh"
sg3rzgjz.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\nrgeseus"
sg3rzgjz.exe -reboot
2. Нажмите Файл - Сохранить как
3. Выберите папку, в которую сохранили sg3rzgjz.exe (gmer)
4. Укажите Тип файла - Все файлы (*.*)
5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить
6. Запустите cleanup.bat
ВНИМАНИЕ: Компьютер перезагрузится!!!
Сделайте новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
выполнил вышеуказанное...
-
Лог в порядке
Установите все новые обновления для Windows
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
В первом сообщении я говорил , что была проблема с обновлениями , но в итоге все обновления установились. 445 порт продолжает спамить на внешние ip адреса.
-
Junior Member
- Вес репутации
- 47
вот как это выглядит... вложенный файл...
P.S. было обнаружено , что при отключении "Служба доступа к файлам и принтерам сетей Microsoft" проблема исчезает... Переустановка службы - не помогла !!! Еще появилась странная активность с 3389 порта в 91.218.87.247 на множество портов и соединение ESTABLISHED , при выполнении команды netstat -bn , "неизвестный компонент svhost.exe" !
Последний раз редактировалось GooDDopE; 04.07.2011 в 16:48.
-
Junior Member
- Вес репутации
- 47
1. Была сделана виртуальная машина на сервере и она не флудила !
2. После замены сетевой карты флуд на (локальной) машине прекратился ...
Кто встречался с подобной проблемой , поделитесь ... Очень интересно из-за чего это ...
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения вредоносные программы в карантинах не обнаружены
-