Помогите!

[MexaHuk]

Какая-то зараза ест мой трафик. DrWeb, Касперский, RemoveIT, AdAware - каждая из программ что-то нашла, полечила - все равно трафик улетает.
Помогите!

При попытке выполнить скрипт лечения/карантина и сбора информации AVZ система показывает синий экран - поэтому лога только два.

[V_Bond]

выполните скрипт ..

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\3J4i2M8W.exe','');       
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ..
сделайте лог http://virusinfo.info/showthread.php?t=10387

[XL]

Руткит засел хитрый...
Итак:

1. AVZ - Файл - Выполнить скрипт:

Код:

begin
QuarantineFile('C:\WINDOWS\system32\3J4i2M8W.exe','');
RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','Upxw72');
BC_QrSvc('Upxw72');
BC_DeleteSvc('Upxw72');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После чего пришлите карантин согласно приложению 3 правил

2. Затем зайдите в панель управления компьютером и удалите там задания планировщика, если их запланировали не Вы (в чем я почти не сомневаюсь ).

3. Попробуйте повторить логи по правилам. Особенно интересует тот, что не получается.

Упс, опередили...

[MexaHuk]

Скрипт выполнил. Компьютер перезагрузился, но когда я пытаюсь открыть карантин, чтобы заархивировать, как описано в правилах - вижу пустое окно.
В планировщике - действительно, 24 штуки заданий, которые каждый час должны запускать вот этот самый 3J4i2M8W.exe.

Добавлено через 5 минут

Выполнить скрипт лечения/карантина по-прежнему не могу: синий экран
0x0000007E (0xC0000005, 0x8061941D, 0xF8ADF854, 0xF8ADF550).

[V_Bond]

сделайте дополнительный лог ...

[MexaHuk]

Логи:

[V_Bond]

интересует лог http://virusinfo.info/showthread.php?t=10387

[MexaHuk]

Сделал:

[MexaHuk]

Пардон! вот лог.

[V_Bond]

выполните скрипт...

Код:

begin
 BC_QrSvc('kprof');
 BC_QrSvc('poof');
 BC_DeleteSvc('kprof');
 BC_DeleteSvc('poof');
 BC_DeleteFile('C:\WINDOWS\system32\kprof');
 BC_DeleteFile('C:\WINDOWS\system32\poof');
BC_Activate;
RebootWindows(true);
end.

повторите логи ...

[MexaHuk]

Выполнено:

[V_Bond]

не хватает скрипта лечения/карантина и сбора информации AVZ (должен запуститься) ...

[MexaHuk]

Действительно, теперь запускается :)

[MexaHuk]

На всякий случай выслал карантин.

[V_Bond]

выполните скрипт...

Код:

begin
 BC_QrFile('C:\WINDOWS\system32\drivers\Upxw72.sys');
 BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_QrFile('C:\WINDOWS\system32\drivers\symavc32.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\Upxw72.sys');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('symavc32');
BC_DeleteSvc('Upxw72');
 BC_Activate;
 RebootWindows(true);
end.

повторите логи ...

[MexaHuk]

Сделал. Победа? )

[V_Bond]

C:\SDFix\backups\backups.zip/{ZIP}/backups/runtime2.sys -зловред консервированный ?
похоже победа ... но сделайте еще лог http://virusinfo.info/showthread.php?t=10387
что из этого используете ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule ()
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

чуть не забыл , а ваш антивирус где ? в отпуск ушел ?

[MexaHuk]

C:\SDFix\backups\backups.zip/{ZIP}/backups/runtime2.sys - видимо, осталось после использования SDFix. Столько уже этих трояноубивателей перепробовал, что и не упомню...
Компьютер домашний. Сознательно - ни одну из этих служб не использую, даже слабо представляю, для чего они нужны.
Лог:

[MexaHuk]

чуть не забыл , а ваш антивирус где ? в отпуск ушел ?

Антивирус ставлю приблизительно раз в месяц, проверяюсь и сношу. Если стоит постоянно - время от времени возникают проблемы с доступом к интернету. Отчего так, непонятно, а у техслужбы провайдера один ответ - "отключите файрволл и антивирусы, если есть".

[V_Bond]

закроем потенциальные дыры ....

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.

без антивируса в интернете компьютер остается чистым , около часа ...
у вас ... зоопарк тоже неплохой был
зловредов больше не вижу... если проблем нет лечение можно считать законченным ..