Показано с 1 по 17 из 17.

svchost.exe третий комп. (заявка № 20168)

  1. #1
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    37

    Thumbs up svchost.exe третий комп.

    Drweb молчит , коннектов очень много, и опять svchost.exe.
    P.S. Такое ощущение что DDOS идет по 80 порту.
    Последний раз редактировалось aqua; 05.04.2008 в 20:52.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    Spybot - удалить ...
    антивирус давно обновляли ?
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('wowfx.dll','');
     QuarantineFile('LogCrypt.dll','');
     QuarantineFile('C:\Documents and Settings\Pasha1\Local Settings\Application Data\spool.exe','');
     BC_DeleteSvc('symavc32');
     QuarantineFile('C:\WINNT\system32\drivers\symavc32.sys','');
     BC_DeleteSvc('smtpdrv');
     QuarantineFile('C:\WINNT\system32\DRIVERS\smtpdrv.sys','');
     BC_DeleteSvc('runtime2');
     QuarantineFile('C:\WINNT\system32\drivers\runtime2.sys','');
     BC_DeleteSvc('dipertoeb9-4d83');
     BC_DeleteSvc('diperto5ab3-589a');
     QuarantineFile('C:\WINNT\system32\diperto5ab3-589a.sys','');
     BC_DeleteSvc('asc3550p');
     BC_DeleteSvc('AdvPowerMgmt');
     BC_DeleteSvc('LmHostsProtectedStorage');
     QuarantineFile('C:\WINNT\TEMP\880441871.exe','');
     BC_DeleteSvc('Schedule');
     QuarantineFile('C:\WINNT\system32\drivers\ctfmon.exe','');
     BC_DeleteSvc('msupdate');
     QuarantineFile('c:\winnt\system32\..\svchost.exe','');
     BC_DeleteSvc('l33t');
     QuarantineFile('C:\WINNT\system32\l33t.exe','');
     BC_DeleteSvc('CcEvtSvc');
     QuarantineFile('C:\WINNT\System32\CcEvtSvc.exe','');
     BC_DeleteSvc('1Google Online Search Service');
     QuarantineFile('C:\WINNT\system32\winlegal.exe','');
     QuarantineFile('C:\WINNT\system32\powermgmt.sys','');
     QuarantineFile('C:\WINNT\system32\wzcsvcv.dll','');
     DeleteFile('C:\WINNT\system32\wzcsvcv.dll');
     DeleteFile('C:\WINNT\system32\powermgmt.sys');
     DeleteFile('C:\WINNT\system32\winlegal.exe');
     DeleteFile('C:\WINNT\System32\CcEvtSvc.exe');
     DeleteFile('C:\WINNT\system32\l33t.exe');
     DeleteFile('c:\winnt\system32\..\svchost.exe');
     DeleteFile('C:\WINNT\system32\drivers\ctfmon.exe');
     DeleteFile('C:\WINNT\TEMP\880441871.exe');
     DeleteFile('C:\WINNT\system32\diperto5ab3-589a.sys');
     DeleteFile('C:\WINNT\system32\dipertoeb9-4d83.sys');
     DeleteFile('C:\WINNT\system32\drivers\runtime2.sys');
     DeleteFile('C:\WINNT\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\WINNT\system32\drivers\symavc32.sys');
     DeleteFile('C:\Documents and Settings\Pasha1\Local Settings\Application Data\spool.exe');
     DeleteFile('LogCrypt.dll');
     DeleteFile('wowfx.dll');
     DeleteFile('crypts.dll');
     DeleteFile('C:\Program Files\iolo\System Mechanic 5\Undo\Manual\{02D9EDF9-3EAD-48D1-B9E3-8CCEFEACD5FB}\{729951B8-5D1F-4013-9587-6D65D2168230}.tmp');
     DeleteFile('C:\Program Files\iolo\System Mechanic 5\Undo\Manual\{02D9EDF9-3EAD-48D1-B9E3-8CCEFEACD5FB}\{DB9AB785-B57E-450F-986F-AE6A39CC7AD9}.tmp');
     DeleteFile('C:\Program Files\iolo\System Mechanic 5\Undo\Manual\{02D9EDF9-3EAD-48D1-B9E3-8CCEFEACD5FB}\{896E2F3D-FB03-442C-9D55-AF67E615AAD1}.tmp');
     DeleteFile('C:\Program Files\iolo\System Mechanic 5\Undo\Manual\{02D9EDF9-3EAD-48D1-B9E3-8CCEFEACD5FB}\{46C5F4D9-72AA-48EE-BBEF-14F10ED159A4}.tmp');
     DeleteFile('C:\Recycled\Dc65.exe');
     DeleteFile('C:\Recycled\Dc67.exe');
     DeleteFile('C:\Program Files\iolo\System Mechanic 5\Undo\Manual\{02D9EDF9-3EAD-48D1-B9E3-8CCEFEACD5FB}\{7C12BB99-36A6-4930-8835-CA0A8EAA6568}.tmp');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    37
    Базы новые.
    Карантин отправил. Вот новые логи.
    Сетевой активности такой уже не наблюдается.
    Последний раз редактировалось aqua; 05.04.2008 в 20:52.

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Профиксите
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe
    O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
    O9 - Extra button: (no name) - DctMapping - (no file)
    O20 - Winlogon Notify: bnreg - C:\WINNT\
    O20 - Winlogon Notify: crypt - C:\WINNT\
    O20 - Winlogon Notify: LogCrypt - C:\WINNT\
    Поищите при помощи АВЗ--сервис поиск файлов на диске zip.dll и пришлите соглачно приложению 2 правил.

  6. #5
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    37
    К сожалению я уже не на месте, как только доберусь туда, то отошлю.

  7. #6
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Хорошо. Подождём.

  8. #7
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    37
    Здравствуйте!
    Какой именно сбросить?
    Поиск файлов по маске zip.dll, размер файлов разный, и дата на компе сбивается из-за батарейки, неизвестно, какой новее.
    C:\WINNT\Installer\{4446b994-ba89-4189-89ba-69e28bdd6a2c}\zip.dll
    C:\WINNT\Installer\{6686c700-3e8f-4382-aa5f-50b361f4551c}\zip.dll
    C:\WINNT\Installer\{d1581e6b-8365-4f60-8571-832be7305a58}\zip.dll
    C:\WINNT\Installer\{7cc63e52-af67-41a4-88c5-c19e39d693a0}\zip.dll
    C:\WINNT\Installer\{84879017-2707-4cf6-bc24-988f262da288}\zip.dll
    C:\WINNT\Installer\{b4475ef7-d0f9-4ffc-adb9-9748eeca1bba}\zip.dll
    C:\WINNT\Installer\{11144f51-c456-440b-94f4-359c2fb59c5e}\zip.dll
    C:\Program Files\Opera.old\zip.dll
    C:\Program Files\Java\j2re1.4.2_06\bin\zip.dll
    C:\Program Files\Java\j2re1.4.2_04\bin\zip.dll
    C:\Program Files\Java\jre1.5.0_02\bin\zip.dll
    C:\Program Files\Java\jre1.5.0_04\bin\zip.dll
    C:\Program Files\Java\jre1.5.0_06\bin\zip.dll
    C:\Program Files\Opera\zip.dll
    Поиск файлов завершен
    Просмотрено 64812, найдено 14

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    C:\WINNT\Installer\{4446b994-ba89-4189-89ba-69e28bdd6a2c}\zip.dll

  10. #9
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    37
    Отправил.

  11. #10
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    C:\WINNT\Installer\{4446b994-ba89-4189-89ba-69e28bdd6a2c}\zip.dll - Trojan-Dropper.Win32.Agent.ftv
    Выполните в АВЗ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINNT\Installer\{4446b994-ba89-4189-89ba-69e28bdd6a2c}\zip.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи.

  12. #11
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    37
    Сделал.
    Последний раз редактировалось aqua; 05.04.2008 в 20:52.

  13. #12
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Поищите ещё этого C:\WINNT\Installer\{2160459b-ed37-40d0-a8cb-2e84a67ba500}\MonUnknown.dll и пришлите согласно приложению 2 правил.

  14. #13
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    37
    AVZ ничего не нашел.
    Поиск файлов по маске MonUnknown.dll
    Поиск файлов завершен
    Просмотрено 64963, найдено 0

  15. #14
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    А при помощи других средств его то же невидать?

  16. #15
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    37
    В проводнике и в FAR папка пустая.

  17. #16
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Выполните в АВЗ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINNT\Installer\{2160459b-ed37-40d0-a8cb-2e84a67ba500}\MonUnknown.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Профиксите, если будет
    Код:
    O21 - SSODL: MonUnknown - {2160459b-ed37-40d0-a8cb-2e84a67ba500} - C:\WINNT\Installer\{2160459b-ed37-40d0-a8cb-2e84a67ba500}\MonUnknown.dll (file missing)
    Больше вредосного ничего не видно.

  18. #17
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    37
    Спасибо большое.

  • Уважаемый(ая) aqua, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Профилактика (третий комп)
      От BioDee в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.01.2011, 02:07
    2. Подозрение! Третий зам...
      От st.diesel в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.06.2010, 13:03
    3. третий комп смс 6008
      От SlyAss в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 08.08.2009, 08:24
    4. temp2.exe - третий комп
      От Rednebz в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 04:35
    5. Ответов: 8
      Последнее сообщение: 22.02.2009, 02:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01360 seconds with 16 queries