-
Junior Member
- Вес репутации
- 60
Подозрение на вредоносное ПО
Здравствуйте!
ОС XP SP3
ПК используется, как шлюз, установлено:
Kerio Winroute Firewall
Плагин visnetic, который использует базы касперского
Radmin
После загрузки ОС, система сильно зависает, браузер IE выдает каждый раз ошибку при запуске, что изменена служба поиска, перестали открываться многие сайты, в том числе virusinfo.
Проверьте логи пожалуйста...
С уважением, Дмитрий.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\progra~1\common~1\vavsha~1\vavcom.exe');
QuarantineFile('c:\progra~1\common~1\vavsha~1\vavcom.exe','');
QuarantineFile('C:\WINDOWS\system32\bspxqmz.exe','');
QuarantineFile('C:\WINDOWS\system32\nzmzezu.exe','');
DeleteFile('C:\WINDOWS\system32\nzmzezu.exe');
DeleteFile('C:\WINDOWS\system32\bspxqmz.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(20);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Прокси сами прописывали? -
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 119.70.40.102:808
- Эти DNS Вам знакомы? - O17 - HKLM\System\CCS\Services\Tcpip\..\{077E00B1-7FA3-4528-8112-8DAC48B524CA}: NameServer = 217.20.80.40,85.255.112.99,217.20.82.4
-
-
Junior Member
- Вес репутации
- 60
- Прокси сами прописывали? -
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 119.70.40.102:808
- Эти DNS Вам знакомы? - O17 - HKLM\System\CCS\Services\Tcpip\..\{077E00B1-7FA3-4528-8112-8DAC48B524CA}: NameServer = 217.20.80.40,85.255.112.99,217.20.82.4[/QUOTE]
Карантин отправил.
DNS знакомы, сам прописывал...
А вот прокси не трогал...
-
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
Olejah
Повторите логи
логи
-
Пофиксите в hijackthis -
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 119.70.40.102:808
- Что с проблемой?
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
Olejah
Пофиксите в hijackthis -
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 119.70.40.102:808
- Что с проблемой?
Большое спасибо! Проблем вроде по первым признакам нет, войти на те сайты на которые раньше не мог, вхожу. ОС перестала тормозить, так как это было до лечения, браузер при запуске ошибок не выдает. Все ОК!
Спасибо еще раз,
С уважением, Дмитрий.
Добавлено через 43 минуты
если не затруднит не подскажете в чем была проблема? Что послужило причиной?
Последний раз редактировалось dddimmm; 15.11.2010 в 14:59.
Причина: Добавлено
-
Проблема была в бэкдоре, который прописался в userinit. Я настоятельно рекомендую сменить все имеющиеся пароли.
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
Olejah
Проблема была в бэкдоре, который прописался в userinit. Я настоятельно рекомендую сменить все имеющиеся пароли.
спасибо, так и сделаю!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\nzmzezu.exe - Backdoor.Win32.Shiz.aui ( DrWEB: BackDoor.Tdss.4631, BitDefender: Trojan.Generic.KDV.82527, AVAST4: Win32:Trojan-gen )
-