Решена проблемы с траффом!

[ftor]

Проблема в том, что траффик "испаряется" на глазах. АВЗ определила маскировку процесса, подозритьельные процессы обнаружены в диспетчере. Логи прилагаются, заранее благодарен!

 

[antispy]

Обновите базы АВЗ.

Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\ati5inxx.sys, C:\WINDOWS\System32\drivers\tcpsr.sys.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Yej16.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
 QuarantineFile('c:\windows\system32\rs32net.exe','');
 TerminateProcessByName('c:\windows\system32\rs32net.exe');
 QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\ati5inxx.sys','');
 QuarantineFile('C:\WINDOWS\system32\dvopzy.dll','');
 QuarantineFile('C:\WINDOWS\system32\dvopzy32.dll','');
 QuarantineFile('C:\Program Files\Windows Media Player\Agent\wmplayer.exe','');
 QuarantineFile('c:\windows\temp\kcn3.tmp','');
 TerminateProcessByName('c:\windows\temp\kcn3.tmp');
 DeleteFile('c:\windows\temp\kcn3.tmp');
 DeleteFile('C:\Program Files\Windows Media Player\Agent\wmplayer.exe');
 DeleteFile('C:\WINDOWS\system32\dvopzy32.dll');
 DeleteFile('C:\WINDOWS\system32\dvopzy.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\ati5inxx.sys');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
 DeleteFile('c:\windows\system32\rs32net.exe');
 DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Yej16.sys');
BC_ImportAll;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('ICF');
BC_DeleteSvc('Yej16');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus-antispy<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.


Повторите логи.

 

[ftor]

Обновленная АВЗ после скрипта и перезагрузки обнаружила WinCtrl32. Карантин выслал, логи прикрепеляю!

 

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('ati5inxx');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati5inxx.sys');
 DeleteFile('dvopzy32.dll');
 DeleteFile('C:\WINDOWS\system32\blphclmej0ej6l.scr');
 DeleteFile('C:\WINDOWS\system32\WlCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пофиксите

O20 - Winlogon Notify: dvopzy - C:\WINDOWS\

повторите логи

 

[antispy]

В карантине были:

dvopzy.dll - Backdoor.Win32.Hijack.ac, svchost.exe-ext.exe -Trojan.Win32.Agent.agym, wmplayer.exe - Worm.Win32.AutoRun.dyg,
MyCentriaInfoBar.dll - not-a-virus:AdWare.Win32.MyCentria.d, rs32net.exe - Trojan.Win32.Agent.ajsr

 

[ftor]

Спасибо уважаемые. Помогло.

 

[ТроПа]

Вы бы логи повторили для контроля что там в системе.

 

[ftor]

Комп отдал. Это сестры был. Спасибо, но всё работало как до заражения.