-
Junior Member
- Вес репутации
- 60
спам с компа
Добрый вечер, нужна ваша помощь. пров закрыл 25 порт сказал идет спам. проверил все компы подозрения только на 1 остались. установил angentum в нем увиел что процес servises.exe ломится на различные хосты локальные порты перебирает все по очереди а удаленный всегда 443.
есть вот такие вот 2 файла
>>> Подозрение на маскировку ключа реестра службы\драйвера "cmpid"
>>> Подозрение на маскировку ключа реестра службы\драйвера "xiozexab
их вкюцуи curit из безопастного режима удалил , но они появлись снова.
так же нод регулярно ругался на непонятные файлы в windows\temp
после того как сделал все исследования файла virusinfo_syscure.zip не нашел есть только virusinfo_cure.zip и то размер 1кб
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по cmpid и выберите "Turn Run Off", потом подтвердите перезагрузку. Повторите для xiozexab
Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\7680fedd3c90','');
DeleteService('f98f44d0546c9d58');
QuarantineFile('C:\WINDOWS\TEMP\74406c3b8a1c','');
DeleteService('bdac3803bfbf74bf');
QuarantineFile('C:\WINDOWS\TEMP\6080a23a4d08','');
QuarantineFile('C:\WINDOWS\TEMP\844096abdc5c','');
QuarantineFile('C:\WINDOWS\TEMP\7640f0a99b64','');
QuarantineFile('C:\WINDOWS\TEMP\7480eaca4280','');
DeleteService('82e9de787b886583');
DeleteService('2a9d6e9608cfa6eb');
DeleteService('0e94d8755033cf11');
DeleteService('0249c568e035f437');
QuarantineFile('C:\WINDOWS\system32\Drivers\xiozexab.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\cmpid.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\cmpid.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\xiozexab.sys');
DeleteFile('C:\WINDOWS\TEMP\7480eaca4280');
DeleteFile('C:\WINDOWS\TEMP\7640f0a99b64');
DeleteFile('C:\WINDOWS\TEMP\844096abdc5c');
DeleteFile('C:\WINDOWS\TEMP\6080a23a4d08');
DeleteFile('C:\WINDOWS\TEMP\74406c3b8a1c');
DeleteFile('C:\WINDOWS\TEMP\7680fedd3c90');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('xiozexab');
BC_DeleteSvc('cmpid');
BC_DeleteSvcReg('xiozexab');
BC_DeleteSvcReg('cmpid');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
скрип не выполняеться с ошибкой
Ошибка в работе антируткита [Failed to set data for 'DisplayName'], шаг [14]
прогнал еще раз cureit удалил уже не 2 а 4 файла. 2 из windows\system32\drivers и еще 2 из корзины. прогой какой сказали эти якобы райвера отключил. активность services.exe прекратилась.сделал ноые логи могу прикрепить их а также лог OSAM.
карантин выслать не могу т.к скрипт не выполняеться + файлы уже удалены
-
Junior Member
- Вес репутации
- 60
-
Пофиксите в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:2080
Выполните скрипт в AVZ:
Код:
begin
BC_DeleteSvc('0249c568e035f437');
BC_DeleteSvc('0e94d8755033cf11');
BC_DeleteSvc('2a9d6e9608cfa6eb');
BC_DeleteSvc('82e9de787b886583');
BC_DeleteSvc('bdac3803bfbf74bf');
BC_DeleteSvc('f98f44d0546c9d58');
BC_DeleteSvc('hmnwjcb');
BC_DeleteSvc('qfsjakog');
BC_DeleteFile('C:\WINDOWS\system32\drivers\cmpid.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\xiozexab.sys');
BC_DeleteSvc('cmpid');
BC_DeleteSvc('xiozexab');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-