Junior Member
Вес репутации
56
спам и непонятный траффик на 80 порт
Добрый день! Мне админы нашей сети сказали, что с моего адреса идет спам-рассылки... поставил оутпост, он показывает, что очень часто процесс winlogon лезет на различные адреса в интернет на 80 порт... комп притормаживает заметно... файлики прилагаю, помогите?
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачайте полимофный АВЗ http://rapidshare.com/files/116949749/pingpong.pif.html и дальше работайте с ним!!!
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('xohmnlkf');
StopService('xjzruzjj');
StopService('synsend');
StopService('ethmaswb');
QuarantineFile('C:\WINDOWS\system32\Drivers\xjzruzjj.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethmaswb.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\eleuvbwzlpy.sys','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\System Volume Information\_restore{301CF3BA-8DB3-496F-A355-1ECEB5964566}\RP622\A0107581.sys','');
DeleteService('xohmnlkf');
DeleteService('xjzruzjj');
DeleteService('synsend');
DeleteService('ethmaswb');
DeleteFile('C:\WINDOWS\system32\Drivers\xjzruzjj.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ethmaswb.sys');
DeleteFile('C:\WINDOWS\system32\drivers\eleuvbwzlpy.sys');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\System Volume Information\_restore{301CF3BA-8DB3-496F-A355-1ECEB5964566}\RP622\A0107581.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('xohmnlkf');
BC_DeleteSvc('xjzruzjj');
BC_DeleteSvc('synsend');
BC_DeleteSvc('ethmaswb');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
56
карантин отослал, результаты проверок прицепил...
после всех действий система стала долго грузиться, в списке процессов висит svchost, который грузит процессор на 100%, иконка работы сети в трее исчезла, в списке сетевых подключений пусто... но сеть работает
Вложения
1. Выполните скрипт в AVZ:
Код:
begin
SetAVZPMStatus(true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
2. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
56
свежие логи... после выполнения "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" и последующей перезагрузки опять появился svchost, который намертво грузил процессор... пришлось убить...
Вложения
Junior Member
Вес репутации
56
и еще: в списке процессов периодически появляется непонятный процесс VRT8.tmp
уже меньше...
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\Drivers\byfnkcqj.sys','');
DeleteService('zmeqpvvi');
QuarantineFile('C:\WINDOWS\System32\Drivers\zmeqpvvi.sys','');
QuarantineFile('C:\WINDOWS\system32\dllhost.exe','');
DeleteService('PolicyAgent');
DeleteService('PlugPlay');
DeleteService('NtmsSvc');
DeleteService('NtLmSsp');
DeleteService('Nla');
DeleteService('NetSvc');
DeleteService('Netman');
DeleteService('Netlogon');
DeleteService('NetDDEdsdm');
DeleteService('NetDDE');
DeleteService('napagent');
DeleteService('MSIServer');
DeleteService('mnmsrvc');
DeleteService('Messenger');
DeleteService('MDM');
DeleteService('lanmanworkstation');
DeleteService('lanmanserver');
DeleteService('ImapiService');
DeleteService('idsvc');
DeleteService('HTTPFilter');
DeleteService('hkmsvc');
DeleteService('HidServ');
DeleteService('helpsvc');
QuarantineFile('C:\WINDOWS\TEMP\VRT1.tmp','');
QuarantineFile('C:\WINDOWS\system32\ctfmon.exe','');
QuarantineFile('C:\Documents and Settings\apopova\dcnvkwj.exe','');
QuarantineFile('c:\windows\system32\svchost.exe','');
DeleteFile('C:\WINDOWS\TEMP\VRT1.tmp');
DeleteFile('C:\Documents and Settings\apopova\dcnvkwj.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\zmeqpvvi.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\byfnkcqj.sys');
BC_ImportAll;
BC_DeleteSvc('byfnkcqj');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=39112
2.Пофиксить в HijackThis следующие строчки, если останутся ( http://virusinfo.info/showthread.php?t=4491 )
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\apopova\dcnvkwj.exe \s
Потом повторите логи, посмотрим, что останется
Junior Member
Вес репутации
56
карантин выслал, строки пофиксил, свежие логи прилагаю
Вложения
остатки:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('SENS');
DeleteService('CiSvc');
DeleteService('Browser');
DeleteService('BITS');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
по некоторым файлам подождем ответа вирлаба
Добавлено через 15 минут
файлы на подлинные ну совсем не походят...
есть дистрибутив windows ?
тогда можно пуск - выполнить - cmd - sfc /scannow
само сверит и вернет подлинные файлы...
Последний раз редактировалось rubin; 06.02.2009 в 17:10 .
Причина: Добавлено
Junior Member
Вес репутации
56
щас попытался скачать и установить квип... скачивается, устанавливается, но при запуске говорит "Sorry, qip.exe file is corrupted"... видимо какая-то бяка осталась... на всяк. случай прикладываю свежие логи
Вложения
C:\Documents and Settings\apopova\reader_s.exe
тоже по правилам пришлите...
А тот совет про sfc /scannow все ещё актуален
Junior Member
Вес репутации
56
C:\Documents and Settings\apopova\reader_s.exe
нету такого файла там
sfc /scannow - требует диск с SP3... пока нету такого у меня... буду искать
Щас сижу в винде, количество процессов svchost.exe становится все больше и больше... хотя запущен только эксплорер, командная строка и проводник
раз нет..
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\apopova\reader_s.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
а диск с Windows нужен
Junior Member
Вес репутации
56
винда стоит лицензионная, ставилась еще с дистрибутива SP1... а тот дистрибутив щас её не устраивает... буду искать дистрибутив SP3
Junior Member
Вес репутации
56
sfc /scannow сделал... что теперь?
Вложения
опять набралось...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('ethsgljs');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys','');
DeleteService('protect');
DeleteService('wrijlqcw');
QuarantineFile('C:\WINDOWS\system32\Drivers\wrijlqcw.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys','');
QuarantineFile('\SystemRoot\system32\drivers\ethsgljs.sys','');
QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
QuarantineFile('c:\windows\services.exe','');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\ethsgljs.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\wrijlqcw.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys');
BC_ImportAll;
BC_DeleteSvc('Passthru');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
карантин - прислать.
потом - у Вас файловый вирус Virus.Win32.Virut.ce. Методами АВЗ с файловыми вирусами бороться бесполезно, касперский его знает, можно вылечить им или АВПТулзой (брать http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ )
После лечения файлового вируса повторите логи
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 34 В ходе лечения обнаружены вредоносные программы:
c:\documents and settings\apopova\dcnvkwj.exe - Virus.Win32.Virut.ce c:\windows\services.exe - Virus.Win32.Virut.ce c:\windows\system32\ctfmon.exe - Virus.Win32.Virut.ce c:\windows\system32\dllhost.exe - Backdoor.Win32.Frauder.anx c:\windows\system32\drivers\ethmaswb.sys - Backdoor.Win32.IEbooot.dc c:\windows\system32\svchost.exe - Virus.Win32.Virut.ce