Добрый день.
В целом комп работает удовлетворительно,
но по netstat -a выдает список соединений к куче разных серверов.
Похоже трояны сидят.
Прошу помочь.
Добрый день.
В целом комп работает удовлетворительно,
но по netstat -a выдает список соединений к куче разных серверов.
Похоже трояны сидят.
Прошу помочь.
Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи повторить.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\Documents and Settings\Best\ctfmon.exe',''); QuarantineFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0070636.exe:userini.exe:$DATA',''); QuarantineFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0069622.sys',''); QuarantineFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0068623.sys',''); QuarantineFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0068622.sys',''); QuarantineFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0068611.sys',''); QuarantineFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0068610.sys',''); QuarantineFile('obdnxl.sys',''); TerminateProcessByName('c:\documents and settings\best\Рабочий стол\7l6qxfd5.exe'); QuarantineFile('c:\documents and settings\best\Рабочий стол\7l6qxfd5.exe',''); TerminateProcessByName('c:\docume~1\best\locals~1\temp\rarsfx0\27hf4xp.exe'); QuarantineFile('c:\docume~1\best\locals~1\temp\rarsfx0\27hf4xp.exe',''); DeleteFile('c:\docume~1\best\locals~1\temp\rarsfx0\27hf4xp.exe'); DeleteFile('c:\documents and settings\best\Рабочий стол\7l6qxfd5.exe'); DeleteFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0068610.sys'); DeleteFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0068611.sys'); DeleteFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0068622.sys'); DeleteFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0068623.sys'); DeleteFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0069622.sys'); DeleteFile('C:\System Volume Information\_restore{07403623-0391-4691-9E2F-0E96E25A39DF}\RP169\A0070636.exe:userini.exe:$DATA'); DeleteFile('C:\Documents and Settings\Best\ctfmon.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('TSW', 3, 3, true); BC_Activate; RebootWindows(true); end.
Добрый день!
Выкладываю!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\best\ctfmon.exe - P2P-Worm.Win32.Palevo.fuc ( DrWEB: Trojan.Packed.20388, BitDefender: Gen:Variant.Palevo.6 )
Уважаемый(ая) treumer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.