Junior Member
Вес репутации
58
Проблемы с svchost
Добрый день! После открытия какой-то страницы в интернете, KIS обнаружил вирус и удалил его, но тут же процесс svchost стал пытаться что-то отправлять по различным адресам на 25 порт.
После полной проверки антивирусом и AVPTool (в обычном и безопасном режимах) ничего выявлено не было. Пожалуйста, помогите! Заранее благодарен.
P.s. И еще у меня заблокирована закладка Рабочий стол в окне свойств экрана. Как ее восстановить?
Прилагаю необходимые файлы.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{B8A5DE1C-BC13-4DD2-BF00-7BE3C603F9F2}');
QuarantineFile('C:\WINDOWS\system32\DomainHelper.dll','');
DelBHO('{04CDB16C-AB38-43CD-A86A-6FEB90290939}');
QuarantineFile('C:\Program Files\PadsysAssistant\AssistantLibrary.dll','');
QuarantineFile('C:\WINDOWS\system32\atiptaxx.exe','');
QuarantineFile('C:\WINDOWS\system32\taskdir.exe','');
QuarantineFile('C:\WINDOWS\system32\Joklfl32.dll','');
QuarantineFile('C:\WINDOWS\system32\syspools.exe','');
QuarantineFile('C:\WINDOWS\9129837.exe','');
QuarantineFile('C:\DOCUME~1\tech\LOCALS~1\Temp\KB908665.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winub51.sys','');
DeleteService('Winub51');
DeleteService('Winhn28');
QuarantineFile('Winhn28.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Nera009.sys','');
DeleteFile('Winhn28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winub51.sys');
DeleteFile('C:\WINDOWS\9129837.exe');
DeleteFile('C:\WINDOWS\system32\syspools.exe');
DeleteFile('C:\WINDOWS\system32\Joklfl32.dll');
DeleteFile('C:\WINDOWS\system32\taskdir.exe');
DeleteFile('C:\Program Files\PadsysAssistant\AssistantLibrary.dll');
DeleteFile('C:\WINDOWS\system32\DomainHelper.dll');
ExecuteRepair(6);
ExecuteRepair(8);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
Junior Member
Вес репутации
58
Логи и карантин выслал.
Закладку Рабочий стол - разблокировал самостоятельно с помощью AVZ.
Вложения
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\tech\LOCALS~1\Temp\KB908665.exe');
DeleteFile('C:\Program Files\ASMonitor\hprog.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи
Junior Member
Вес репутации
58
Высылаю очередную порцию логов
Вложения
скачайте C:\WINDOWS\system32\Drivers\Winyf17.sys -force delete
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('44AE4113-C121-10CC-1F32-A0BC12E2014D');
QuarantineFile('C:\WINDOWS\system32\msapplg.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winyf17.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winyf17.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\msapplg.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
Junior Member
Вес репутации
58
Скажите, пожалуйста, что такое force delete? Как я понимаю это удалить вручную. И для чего мне использовать IceSword?
Junior Member
Вес репутации
58
Логи. Карантин выслал тоже.
Вложения
Junior Member
Вес репутации
58
А что это такое было и почему KIS эту гадость не уничтожил?
Junior Member
Вес репутации
58
Большое спасибо за помощь!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 14 В ходе лечения обнаружены вредоносные программы:
c:\\docume~1\\tech\\locals~1\\temp\\kb908665.exe - Trojan.Win32.Agent.awby (DrWEB: Trojan.DownLoad.2077) c:\\program files\\asmonitor\\hprog.dll - not-a-virus:Monitor.Win32.ActualSpy.27 (DrWEB: Trojan.ActualSpy)