Решена проблемы с траффом!

Тема в разделе "Лечение компьютерных вирусов", создана пользователем ftor, 24 окт 2008.

Статус темы:
Закрыта.
  1. ftor
    Онлайн

    ftor Гость

    Проблема в том, что траффик "испаряется" на глазах. АВЗ определила маскировку процесса, подозритьельные процессы обнаружены в диспетчере. Логи прилагаются, заранее благодарен!
     
  2. antispy
    Оффлайн

    antispy Активный пользователь

    Сообщения:
    107
    Симпатии:
    450
    Обновите базы АВЗ.

    Скачайте IceSword.
    Запустите программу.
    Внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\ati5inxx.sys, C:\WINDOWS\System32\drivers\tcpsr.sys.
    Нажмите по нему правой кнопкой мыши и выберите force delete.
    На запрос потверждения ответьте "да".

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Yej16.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
     QuarantineFile('c:\windows\system32\rs32net.exe','');
     TerminateProcessByName('c:\windows\system32\rs32net.exe');
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\ati5inxx.sys','');
     QuarantineFile('C:\WINDOWS\system32\dvopzy.dll','');
     QuarantineFile('C:\WINDOWS\system32\dvopzy32.dll','');
     QuarantineFile('C:\Program Files\Windows Media Player\Agent\wmplayer.exe','');
     QuarantineFile('c:\windows\temp\kcn3.tmp','');
     TerminateProcessByName('c:\windows\temp\kcn3.tmp');
     DeleteFile('c:\windows\temp\kcn3.tmp');
     DeleteFile('C:\Program Files\Windows Media Player\Agent\wmplayer.exe');
     DeleteFile('C:\WINDOWS\system32\dvopzy32.dll');
     DeleteFile('C:\WINDOWS\system32\dvopzy.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\ati5inxx.sys');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('c:\windows\system32\rs32net.exe');
     DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Yej16.sys');
    BC_ImportAll;
    BC_DeleteSvc('tcpsr');
    BC_DeleteSvc('ICF');
    BC_DeleteSvc('Yej16');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus-antispy<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.


    Повторите логи.
     
  3. ftor
    Онлайн

    ftor Гость

    Обновленная АВЗ после скрипта и перезагрузки обнаружила WinCtrl32. Карантин выслал, логи прикрепеляю!
     
  4. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('ati5inxx');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati5inxx.sys');
     DeleteFile('dvopzy32.dll');
     DeleteFile('C:\WINDOWS\system32\blphclmej0ej6l.scr');
     DeleteFile('C:\WINDOWS\system32\WlCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пофиксите
    повторите логи
     
  5. antispy
    Оффлайн

    antispy Активный пользователь

    Сообщения:
    107
    Симпатии:
    450
    В карантине были:

    dvopzy.dll - Backdoor.Win32.Hijack.ac, svchost.exe-ext.exe -Trojan.Win32.Agent.agym, wmplayer.exe - Worm.Win32.AutoRun.dyg,
    MyCentriaInfoBar.dll - not-a-virus:AdWare.Win32.MyCentria.d, rs32net.exe - Trojan.Win32.Agent.ajsr
     
  6. ftor
    Онлайн

    ftor Гость

    Спасибо уважаемые. Помогло.
     
  7. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    Вы бы логи повторили для контроля что там в системе.
     
  8. ftor
    Онлайн

    ftor Гость

    Комп отдал. Это сестры был. Спасибо, но всё работало как до заражения.
     
Статус темы:
Закрыта.

Поделиться этой страницей