Решена проблемы с траффом!

Статус
В этой теме нельзя размещать новые ответы.
#1
Проблема в том, что траффик "испаряется" на глазах. АВЗ определила маскировку процесса, подозритьельные процессы обнаружены в диспетчере. Логи прилагаются, заранее благодарен!
 

antispy

Активный пользователь
Сообщения
103
Симпатии
251
Баллы
453
#2
Обновите базы АВЗ.

Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\ati5inxx.sys, C:\WINDOWS\System32\drivers\tcpsr.sys.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Yej16.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
 QuarantineFile('c:\windows\system32\rs32net.exe','');
 TerminateProcessByName('c:\windows\system32\rs32net.exe');
 QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\ati5inxx.sys','');
 QuarantineFile('C:\WINDOWS\system32\dvopzy.dll','');
 QuarantineFile('C:\WINDOWS\system32\dvopzy32.dll','');
 QuarantineFile('C:\Program Files\Windows Media Player\Agent\wmplayer.exe','');
 QuarantineFile('c:\windows\temp\kcn3.tmp','');
 TerminateProcessByName('c:\windows\temp\kcn3.tmp');
 DeleteFile('c:\windows\temp\kcn3.tmp');
 DeleteFile('C:\Program Files\Windows Media Player\Agent\wmplayer.exe');
 DeleteFile('C:\WINDOWS\system32\dvopzy32.dll');
 DeleteFile('C:\WINDOWS\system32\dvopzy.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\ati5inxx.sys');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
 DeleteFile('c:\windows\system32\rs32net.exe');
 DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Yej16.sys');
BC_ImportAll;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('ICF');
BC_DeleteSvc('Yej16');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus-antispy<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.


Повторите логи.
 
#3
Обновленная АВЗ после скрипта и перезагрузки обнаружила WinCtrl32. Карантин выслал, логи прикрепеляю!
 

ТроПа

Активный пользователь
Сообщения
391
Симпатии
334
Баллы
483
#4
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('ati5inxx');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati5inxx.sys');
 DeleteFile('dvopzy32.dll');
 DeleteFile('C:\WINDOWS\system32\blphclmej0ej6l.scr');
 DeleteFile('C:\WINDOWS\system32\WlCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пофиксите
O20 - Winlogon Notify: dvopzy - C:\WINDOWS\
повторите логи
 

antispy

Активный пользователь
Сообщения
103
Симпатии
251
Баллы
453
#5
В карантине были:

dvopzy.dll - Backdoor.Win32.Hijack.ac, svchost.exe-ext.exe -Trojan.Win32.Agent.agym, wmplayer.exe - Worm.Win32.AutoRun.dyg,
MyCentriaInfoBar.dll - not-a-virus:AdWare.Win32.MyCentria.d, rs32net.exe - Trojan.Win32.Agent.ajsr
 

ТроПа

Активный пользователь
Сообщения
391
Симпатии
334
Баллы
483
#7
Вы бы логи повторили для контроля что там в системе.
 
#8
Комп отдал. Это сестры был. Спасибо, но всё работало как до заражения.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу