Какой то спамбот выжил и жрет трафик.
Какой то спамбот выжил и жрет трафик.
Последний раз редактировалось YuriJJ; 13.05.2008 в 10:31.
Выполнить:
Прислать карантин через ссылку вверху темы.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\SVOHOST.exe',''); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\WINDOWS\FONTS\81576.com',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA',''); DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA'); BC_DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('C:\WINDOWS\system32\SVOHOST.exe'); DeleteFile('C:\WINDOWS\system32\SVOHOST.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Профиксить:
Код:R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://shell.windows.com/fileassoc/fileassoc.asp?LangID=0419&Ext=psd
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполнил, пофиксил, отправил.
Файл сохранён как 071018_041648_virus_471724801e359.zip
Размер файла 35624
MD5 b82cdc881fe5d3934b55e9ea89c96783
Делать лог нужно в Safe Mode:http://virusinfo.info/showthread.php?t=10387
Повторно обычные, как в первом сообщении тоже.
Добавлено через 4 минуты
'C:\WINDOWS\system32\drivers\protect.sys' - Rootkit.Win32.Agent.jj (по Касперскому) Обычно идет в компании.
'c:\windows\system32\svchost.exe:ext.exe:$DATA' - Trojan.Win32.Obfuscated.jb (по Касперскому, новенький) Странно, что AVZ его не определил. Базы обновленные стоят.
Последний раз редактировалось PavelA; 18.10.2007 в 14:35. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
АВЗ обновлял, это:
'c:\windows\system32\svchost.exe:ext.exe:$DATA'
он видел, но я так и не допер, что за конструкция такая (svchost.exe:ext.exe:$DATA')
А это где засветилось? 'C:\WINDOWS\system32\drivers\protect.sys'
Последний раз редактировалось YuriJJ; 13.05.2008 в 10:31.
Почистить временные файлы Инета.
Профиксить:
C:\WINDOWS\FONTS\81576.com - что вот это такое знаешь?Код:O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe
Если нет, то найти через AVZ, поместить в карантин и загрузить.
А это где засветилось? 'C:\WINDOWS\system32\drivers\protect.sys' - нашелся в присланном карантине.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Почистил.
Пофиксил.
Этого C:\WINDOWS\FONTS\81576.com не оказалось, тоже пофиксил.
А у этого 'C:\WINDOWS\system32\drivers\protect.sys' почему то в карантине стоит вчерашняя дата, хотя лечить начал только сегодня!
Нужно было бы новый лог HijackThis для контроля сделать.
Кстати, запускать HijackThis.exe надо не из архива, а распаковав его в отдельную папку.
Уважаемый(ая) YuriJJ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.