Подозрительная активность svchost устанавливаются соединения по 145 порту

[zugo681]

Добрый день! Некоторое время назад из за случайно отключенного фаервала залетел какой-то троян и грохнул Aviru и с ней систему.
После того как починил систему назад началось непонятное: Avira постоянно ловит кучу троянов которые появляются десятками каждый день. Лечишь один появляется другой, и все время разные (на данный момент штук 20 было). Еще непонятно откуда взялся Kido, долго не хотел выводиться но вроде тоже повывел. Сейчас показывает что все чисто, но через Comodo видно что svchost постоянно устанавливает сразу несколько соединий с ip адресом в сети моего провайдера и чего-то усиленно отправляет получает. Если их завершить, то через некоторое время они опять появляются, но уже с другим ip подобным этому. Мой компьютер атакует, или меня атакуют понять немогу. Плюс в службах появились несколько сервисов с назаваниями типа hjgsjfkdsh которые вроде как не активны, но все же висят как службы.

Вообщем налицо симтомы какой-то гадости, которая постоянно зовет в гости все новых и новых "друзей" а какой понять не могу. Помогите люди добрые!

[AndreyKa]

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
 SetAVZGuardStatus(True);
 DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
 ExecuteRepair(6);
 ExecuteRepair(9);
ExecuteWizard('TSW', 2, 2, true);
 DeleteService('Wisdfsdfrv');
 BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\sfjieawr');
 BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\MedGatewter');
 QuarantineFile('C:\WINXP\system32\bnmninc.exe','');
 QuarantineFile('C:\Documents and Settings\red\Рабочий стол\gyazowin.exe','');
 QuarantineFile('C:\WINXP\system32\RfmwtfC.dll','');
 QuarantineFile('C:\WINXP\system32\RmmntgC.dll','');
 QuarantineFile('C:\WINXP\system32\RsmptmC.dll','');
 QuarantineFile('C:\WINXP\system32\jkkLDtQI','');
 QuarantineFile('hgGwVmjI.dll','');
 QuarantineFile('fccYqRkj.dll','');
QuarantineFile('IFEOFILE','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fccYqRkj','DLLName');
 DeleteFile('fccYqRkj.dll');
 DeleteFile('hgGwVmjI.dll');
 DeleteFile('C:\WINXP\system32\jkkLDtQI');
 DeleteFile('C:\WINXP\system32\RsmptmC.dll');
 DeleteFile('C:\WINXP\system32\RmmntgC.dll');
 DeleteFile('C:\WINXP\system32\RfmwtfC.dll');
 DeleteFile('C:\WINXP\system32\bnmninc.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate; 
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

[zugo681]

Большое спасибо за помощь! Вот свежие логи

[zugo681]

Вот только службы левые так и висят, отключенные вроде как. Что с ними можно сделать?

[AndreyKa]

Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.

[zugo681]

Выполнил.

[AndreyKa]

Если службы отключенны, то не опасны.
В avz_log.txt виден полный набор дыр для эксплойтов с веб-сайтов. Но если браузерами не пользоваться, то они не опасны.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\winxp\system32\rsmptmc.dll - Backdoor.Win32.Dogrobot.a ( BitDefender: Trojan.Generic.2959124, AVAST4: Win32:Dogrobot [Drp] )