1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена проблемы с траффом!

Тема в разделе "Удаление компьютерных вирусов", создана пользователем ftor, 24 окт 2008.

Статус темы:
Закрыта.
  1. ftor

    ftor Гость

    Проблема в том, что траффик "испаряется" на глазах. АВЗ определила маскировку процесса, подозритьельные процессы обнаружены в диспетчере. Логи прилагаются, заранее благодарен!
     
  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. antispy

    antispy Активный пользователь

    Сообщения:
    107
    Симпатии:
    452
    Обновите базы АВЗ.

    Скачайте IceSword.
    Запустите программу.
    Внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\ati5inxx.sys, C:\WINDOWS\System32\drivers\tcpsr.sys.
    Нажмите по нему правой кнопкой мыши и выберите force delete.
    На запрос потверждения ответьте "да".

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Yej16.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
     QuarantineFile('c:\windows\system32\rs32net.exe','');
     TerminateProcessByName('c:\windows\system32\rs32net.exe');
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\ati5inxx.sys','');
     QuarantineFile('C:\WINDOWS\system32\dvopzy.dll','');
     QuarantineFile('C:\WINDOWS\system32\dvopzy32.dll','');
     QuarantineFile('C:\Program Files\Windows Media Player\Agent\wmplayer.exe','');
     QuarantineFile('c:\windows\temp\kcn3.tmp','');
     TerminateProcessByName('c:\windows\temp\kcn3.tmp');
     DeleteFile('c:\windows\temp\kcn3.tmp');
     DeleteFile('C:\Program Files\Windows Media Player\Agent\wmplayer.exe');
     DeleteFile('C:\WINDOWS\system32\dvopzy32.dll');
     DeleteFile('C:\WINDOWS\system32\dvopzy.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\ati5inxx.sys');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('c:\windows\system32\rs32net.exe');
     DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Yej16.sys');
    BC_ImportAll;
    BC_DeleteSvc('tcpsr');
    BC_DeleteSvc('ICF');
    BC_DeleteSvc('Yej16');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus-antispy<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.


    Повторите логи.
     
  4. ftor

    ftor Гость

    Обновленная АВЗ после скрипта и перезагрузки обнаружила WinCtrl32. Карантин выслал, логи прикрепеляю!
     
  5. ТроПа

    ТроПа Активный пользователь

    Сообщения:
    398
    Симпатии:
    727
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('ati5inxx');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati5inxx.sys');
     DeleteFile('dvopzy32.dll');
     DeleteFile('C:\WINDOWS\system32\blphclmej0ej6l.scr');
     DeleteFile('C:\WINDOWS\system32\WlCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пофиксите
    повторите логи
     
  6. antispy

    antispy Активный пользователь

    Сообщения:
    107
    Симпатии:
    452
    В карантине были:

    dvopzy.dll - Backdoor.Win32.Hijack.ac, svchost.exe-ext.exe -Trojan.Win32.Agent.agym, wmplayer.exe - Worm.Win32.AutoRun.dyg,
    MyCentriaInfoBar.dll - not-a-virus:AdWare.Win32.MyCentria.d, rs32net.exe - Trojan.Win32.Agent.ajsr
     
  7. ftor

    ftor Гость

    Спасибо уважаемые. Помогло.
     
  8. ТроПа

    ТроПа Активный пользователь

    Сообщения:
    398
    Симпатии:
    727
    Вы бы логи повторили для контроля что там в системе.
     
  9. ftor

    ftor Гость

    Комп отдал. Это сестры был. Спасибо, но всё работало как до заражения.
     
Загрузка...
Статус темы:
Закрыта.

Поделиться этой страницей