Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 34.

Неизвестные запросы (заявка № 50622)

  1. #1
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    56

    Thumbs up Неизвестные запросы

    День добрый, с недавних пор svchost.exe стал выдавать запросы на входящие соединения с адреса gv.eridan при включении и выключении интернета. Также на днях nod32 поймал в C:\System Volume Information\_restore{EA6E51F0-EF1A-44AB-BBA4-ED58448FC731}\RP52\A0089552.dll Win32/TrojanClicker.Agent.NGF, возможно из-за него эта проблема и происходит. Прошу о помощи
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Восстановление системы: включено????


    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('gxvxcserv.sys','');
     DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
     DeleteFile('%systemroot%\system32\drivers\gxvxcserv.sys');
     DeleteService('Bonjour Service');
     DeleteFile('%programfiles%\bonjour\mdnsresponder.exe');
     DeleteFile('%programfiles%\bonjour\mdnsNSP.dll');
     DeleteFile('%programfiles%\Bonjour\ExplorerPlugin.dll');
     DelCLSID('{9999A076-A9E2-4C99-8A2B-632FC9429223}');
     RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(14);
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    56
    карантин скинул, логи приложил

    Пост мертвый...
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 24.07.2009 в 16:52.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Маяк Посмотреть сообщение
    Пост мертвый...
    А чего - очень спешно надо? Сделайте format c:\ - будет намного быстрее.

    Лог gmer сделайте - в Чаво есть инструкция.

  6. #5
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    56
    ага, лог ниже
    Вложения Вложения
    • Тип файла: log Gmer.log (56.7 Кб, 4 просмотров)

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Сохраните код в текстовом файле
    Код:
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\gxvxcserv"
    gmer.exe -del file "%systemroot%\system32\drivers\gxvxcbpcbfxmbphqywbrshyxiwulnkbymwvin.sys"
    gmer.exe -del file "%systemroot%\system32\gxvxcgxvdlymsiesixrmpygpurtetidqvpavb.dll"
    gmer.exe -reboot
    в том каталоге, где gmer под именем 123.bat и запустите его. После перезагрузки повторите лог gmer.
    Последний раз редактировалось Rene-gad; 29.07.2009 в 10:50.

  8. #7
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    56
    завтра вечером сделаю, щас уже времени нет

  9. #8
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    56
    пишит не найден указаный модуль

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Не найден - и ладно. Дойдите с этим скриптом до конца и сделйте новый лог.

  11. #10
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    56
    Прикрепил новый лог
    Вложения Вложения
    • Тип файла: log gmer.log (35.6 Кб, 5 просмотров)

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Вы 123.bat где сохранили? Его надо из той же папки, где лежит gmer.exe запускать. Повторите его запуск, всё осталось без изменений.

  13. #12
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    56
    там и сохранил, где gmer. вновь запустил, и опять не найден указанный модуль

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Попробуйте измененный скрипт под именем 321.bat
    Код:
    gmer.exe -del service gxvxcserv
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\gxvxcserv"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\gxvxcserv.sys"
    gmer.exe -del file "C:\WINDOWS\system32\drivers\gxvxcbpcbfxmbphqywbrshyxiwulnkbymwvin.sys"
    gmer.exe -del file "C:\WINDOWS\system32\gxvxcgxvdlymsiesixrmpygpurtetidqvpavb.dll"
    gmer.exe -reboot

  15. #14
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    56
    ок

    Добавлено через 8 минут

    И вновь не найден. в последнем сообщении написано ''an error 0x00000002 occured during the deletion of file" и путь к драйверу, который надо удалить
    Последний раз редактировалось Маяк; 29.07.2009 в 11:06. Причина: Добавлено

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Запустите gmer.exe , закладка File , пройдите в каталог C:\WINDOWS\system32\drivers\ поищите файл с таким дурацким gxvxcbpcbfxmbphqywbrshyxiwulnkbymwvin.sys (или похожим) именем. Скопируйте его куда-нибудь на диск (Copy), потом убейте (Delete). Возможно gmer предложит удалить его при перезагрузке.Аналогично файл C:\WINDOWS\system32\gxvxcgxvdlymsiesixrmpygpurteti dqvpavb.dll

  17. #16
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    56
    хех, как ни странно, но файлов с подобными именами там просто нет. Просмотрел все вдоль и поперек, даже намека на такое имя нет, как и файлов с длинными именами.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    В последнем логе гмера они видны. Проверьте ещё ключи реестра в regedit.

  19. #18
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    56
    проверил - пусто.

  20. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    При выполнении лога gmer возможны сообщения об ошибках. Не стоит на них внимания обращать.
    Делайте новый лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #20
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    37
    Вес репутации
    56
    Цитата Сообщение от thyrex Посмотреть сообщение
    При выполнении лога gmer возможны сообщения об ошибках. Не стоит на них внимания обращать.
    Это вы о чем?у меня никаких ошибок не было

  • Уважаемый(ая) Маяк, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Неизвестные вирусы
      От zTiher в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 19.11.2009, 15:24
    2. Запросы на 66.36.228.233
      От Powl в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.09.2009, 12:32
    3. неизвестные процессы
      От Gastell0 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 09:16
    4. Неизвестные IRP хуки
      От Hook's в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 15.09.2008, 11:41
    5. Звездные запросы
      От MOCT в разделе Юмор
      Ответов: 0
      Последнее сообщение: 18.08.2006, 22:44

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01122 seconds with 18 queries