-
Junior Member
- Вес репутации
- 51
svchost грузит процессор после сообщения о блокировке атаки
Добрый вечер,
При каждом подключении к интернет NOD выдает сообщение о блокировке атаки компьютера, URL инициатора атаки: discountprowatch.com/news/controller.php.....
После этого один из процессов svchost начинает загружать ЦП на 95-100% постоянно, помогает только перезагрузка.
Помогите пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Доброго времени суток
Отключите восстановление системы
Пофиксите в Hijackthis:
Код:
O2 - BHO: Rmn plugin - {ABADC07C-9990-405a-AA24-2C209B50AE79} - (no file)
Если Вам это не знакомо, то тоже пофиксить:
Код:
O16 - DPF: {33331111-1111-1111-1111-611111193423} - http://www.www2.p0rt2.com/files/777.cab
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} - http://www.www2.p0rt2.com/files/proto220.cab
O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl152bd.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - http://www.www2.p0rt2.com/files/MirarSetup-875498.cab
Знакомы эти адреса?
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{4175F131-7C15-47F3-98A9-696C1E8C0636}: NameServer = 83.239.0.202 85.172.0.250
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.52;85.255.112.12
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.52;85.255.112.12
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.114.52;85.255.112.12
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.114.52;85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.52;85.255.112.12
Закройте все программы, выполните скрипт в AVZ в безопасном режиме:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\usbn.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\itunesff.exe','');
QuarantineFile('C:\Documents and Settings\Besta\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\DOCUME~1\7FC9~1\LOCALS~1\Temp\mdxgthkn.sys','');
DeleteService('mdxgthkn');
DeleteFile('C:\DOCUME~1\7FC9~1\LOCALS~1\Temp\mdxgthkn.sys');
DeleteFile('C:\Documents and Settings\Besta\Программы\Автозагрузка\monoca32.exe');
BC_DeleteFile('C:\Documents and Settings\Besta\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\WINDOWS\system32\itunesff.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\usbn.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','itunesff');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','usbn');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам + лог gmer
Последний раз редактировалось DefesT; 10.08.2010 в 00:31.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 51
К сожалению, GMER запускается, но тут же появляется сообщение о недопустимой ошибке и что приложение будет закрыто..
-
Пролечитесь так
- Лог работы утилиты прикрепите к сообщению
-
-
Junior Member
- Вес репутации
- 51
-
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 51
-
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9a9c9b68-f908-4aab-8d0c-10ea8997f37e} (Adware.Mirar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9a9c9b69-f908-4aab-8d0c-10ea8997f37e} (Adware.Mirar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{abadc07c-9990-405a-aa24-2c209b50ae79} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{9a9c9b68-f908-4aab-8d0c-10ea8997f37e} (Adware.Mirar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{9a9c9b69-f908-4aab-8d0c-10ea8997f37e} (Adware.Mirar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
HKEY_CLASSES_ROOT\extravideo (Trojan.DNSChanger) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MRSoft (Trojan.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{9a9c9b68-f908-4aab-8d0c-10ea8997f37e} (Adware.Mirar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\windows sarby (Malware.Trace) -> No action taken.
Зараженные папки:
C:\resycled (Trojan.DNSChanger) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\орпгнпгнпгнпгпнгпнгг\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\WINDOWS\system32\bb1.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\cs.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\ps1.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\rc.dat (Trojan.Agent) -> No action taken.
C:\Documents and Settings\орпгнпгнпгнпгпнгпнгг\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
C:\Documents and Settings\орпгнпгнпгнпгпнгпнгг\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\NetworkService\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Удалила. Похоже, проблема решена..?
Симптомы больше не проявляются...
-
Выписываем из лазарета
Установите Acrobat Reader 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Огромное спасибо!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\besta\программы\автозагрузка\monoca32.exe - Packed.Win32.Krap.ao ( DrWEB: Trojan.Botnetlog.488, BitDefender: Gen:Trojan.Heur.UT.bC0@bmEX7Fmi, AVAST4: Win32:Crypt-HEF [Drp] )
-