Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум
Имя пользователя:
Пароль:
 

Название темы: [решено] Процесс system выполняет ежесекундные запросы к разным IP
Показать сообщение отдельно

Новый участник


Сообщения: 24
Благодарности: 6

Профиль | Отправить PM | Цитировать

Здравствуйте creative84,

Проверьте файл c:\docume~1\$$$\locals~1\temp\_ir_tu2_temp_0\irzip.lmd на Virustotale Ссылку на результат прикрепите в следующем сообщение.


•У вас старая версия HiJackThis ( 2.0.2). Скачайте HiJackThis(2.0.4). Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код: Выделить весь код
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cwdrive32.exe
F3 - REG:win.ini: load=???
F3 - REG:win.ini: run=???
• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код: Выделить весь код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 TerminateProcessByName('c:\windows\cwdrive32.exe');
 TerminateProcessByName('c:\windows\system32\msvmiode.exe');
 QuarantineFile('c:\documents and settings\$$$\application data\ltzqai.exe','');
 QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
 QuarantineFile('C:\WINDOWS\cwdrive32.exe','');
 QuarantineFile('C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll','');
 QuarantineFile('C:\Program Files\Common Files\AdobeARMS.exe','');
 QuarantineFile('C:\WINDOWS\system32\48.exe','');
 QuarantineFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP38\A0023999.exe','');
 QuarantineFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP28\A0019066.exe','');
 QuarantineFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP19\A0012703.exe','');
 QuarantineFile('c:\recycler\s-1-5-21-9144973525-0824937566-791162625-6846\syscr.exe','');
 DeleteFile('C:\WINDOWS\cwdrive32.exe');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
 DeleteFile('C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll');
 DeleteFile('c:\recycler\s-1-5-21-9144973525-0824937566-791162625-6846\syscr.ex');
 DeleteFile('c:\documents and settings\$$$\application data\ltzqai.exe');
 DeleteFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP19\A0012703.exe');
 DeleteFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP28\A0019066.exe');
 DeleteFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP38\A0023999.exe');
 DeleteFile('C:\WINDOWS\system32\48.exe');
 DeleteFile('C:\Program Files\Common Files\AdobeARMS.exe');
 DelBHO('{83821C2B-32A8-4DD7-B6D4-44309A78E668}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7'); 
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт

Код: Выделить весь код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

Для отмены автозапуска выполните скрипт:
Код: Выделить весь код
begin
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end.
Повторите логи.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Внимание:
1. Обновите Windows XP SP 2 до SP3 ссылка по требуется повторная активация.
2. Поменяйте все пароли.

Последний раз редактировалось Alex1983, 10-12-2010 в 20:14.

Это сообщение посчитали полезным следующие участники:

Отправлено: 19:43, 10-12-2010 | #3

Название темы: [решено] Процесс system выполняет ежесекундные запросы к разным IP