-
Junior Member
- Вес репутации
- 61
опять svchost.exe
Короче говоря svchost.exe поочереди со всех портов шлет в интернет что-то по адресу 75.126.94.11, в основном этот закрыл пытается по другим адресам.
Поднял лог фаервола - неделю назад с этого адреса сканировали нашу сеть (.
Запустил TDIMON.EXE - вижу что svchost.exe отсылает по разным адресам, процесс скрытый, убиваю- все ок, перегружаюсь и все с начала...
Короче говоря справиться не могу - помогите.
Последний раз редактировалось saygi; 18.04.2010 в 00:26.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll
O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll
O2 - BHO: HtmlView Helper - {E496675D-472B-4A82-A4F7-2EBBE5DA6754} - C:\WINDOWS\system32\adtool.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\adtool.dll','');
QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
QuarantineFile('C:\WINDOWS\system32\perfc000.dat','');
QuarantineFile('C:\WINDOWS\ServicePackFiles\services.exe','');
DeleteFile('C:\WINDOWS\ServicePackFiles\services.exe');
DeleteFile('C:\WINDOWS\system32\perfc000.dat');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
DeleteFile('C:\WINDOWS\system32\adtool.dll');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Огромное спасибо за быструю помощь!
Скрытый процесс пропал.
Все Ок.
Карантин и логи выслать?
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Последний раз редактировалось saygi; 18.04.2010 в 00:26.
-
ConnectionServices.dll - not-a-virus:AdWare.Win32.BHO.if
mssrv32.exe - Backdoor.Win32.Kbot.t
(по Касперскому)
Остальных в карантине нет.
Логи чистые.
Рекомендую отключить все ненужное из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Последний раз редактировалось Bratez; 23.10.2007 в 17:27.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Еще раз спасибо за помощь.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\connectionservices\\connectionservices.dll - Trojan.Win32.ConnectionServices.n (DrWEB: Trojan.BitAcc)
- c:\\windows\\system32\\mssrv32.exe - Backdoor.Win32.Kbot.t (DrWEB: Trojan.MulDrop.8347)
-