Здравствуйте.
пролечил компьютер Дрвебом.
Вирусы были, вылечил.
Но при включении Интернета идет большой smtp поток на разные хосты.
Помогите, плз.
Логи прилагаю. Не мог загрузить сюда, даю ссылку.
http://filesstore.ifolder.ru/6015019
Здравствуйте.
пролечил компьютер Дрвебом.
Вирусы были, вылечил.
Но при включении Интернета идет большой smtp поток на разные хосты.
Помогите, плз.
Логи прилагаю. Не мог загрузить сюда, даю ссылку.
http://filesstore.ifolder.ru/6015019
Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Kqv40.sys и если есть - удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\explorer.exe:yahooblog2.jpg:$DATA',''); QuarantineFile('C:\WINDOWS\explorer.exe:whois2.jpg:$DATA',''); QuarantineFile('C:\WINDOWS\explorer.exe:googrou4.jpg:$DATA',''); QuarantineFile('C:\WINDOWS\explorer.exe:gmail3.jpg:$DATA',''); QuarantineFile('C:\WINDOWS\explorer.exe:extractor5.jpg:$DATA',''); QuarantineFile('C:\WINDOWS\explorer.exe:crawler1.jpg:$DATA',''); QuarantineFile('C:\WINDOWS\explorer.exe:blogger5.jpg:$DATA',''); QuarantineFile('C:\WINDOWS\explorer.exe:analyzer1.jpg:$DATA',''); QuarantineFile('c:\windows\explorer.exe:yahooblog2.jpg:$DATA',''); QuarantineFile('c:\windows\explorer.exe:whois2.jpg:$DATA',''); QuarantineFile('c:\windows\explorer.exe:googrou4.jpg:$DATA',''); QuarantineFile('c:\windows\explorer.exe:gmail3.jpg:$DATA',''); QuarantineFile('c:\windows\explorer.exe:extractor5.jpg:$DATA',''); QuarantineFile('c:\windows\explorer.exe:crawler1.jpg:$DATA',''); QuarantineFile('c:\windows\explorer.exe:blogger5.jpg:$DATA',''); QuarantineFile('c:\windows\explorer.exe:analyzer1.jpg:$DATA',''); DelBHO('{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}'); QuarantineFile('sysfldr.dll',''); QuarantineFile('WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Nty51.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Cin40.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Kqv40.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Kqv40.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\sysfldr.dll',''); DeleteFile('C:\WINDOWS\system32\sysfldr.dll'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Kqv40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Kqv40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Cin40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Nty51.sys'); DeleteFile('WLCtrl32.dll'); DeleteFile('sysfldr.dll'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Kqv40'); BC_DeleteSvc('Nty51'); BC_DeleteSvc('Cin40'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21024 ).
Пофиксите в HijackThis:
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".Код:O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Спасибо, после выполнения всех действий, поток прекратился.
С помощью IceSword удалил файлик.
Но судя по логам, проблема осталась?
Новые логи, получилось отправить уже.
Последний раз редактировалось Powl; 10.04.2009 в 18:42.
Профиксить:
Код:F2 - REG:system.ini: UserInit=userinit.exe, O16 - DPF: {33331111-1111-1111-1111-611111193423} - O16 - DPF: {33331111-1111-1111-1111-611111193429} - O16 - DPF: {33331111-1111-1111-1111-615111193427} - O16 - DPF: {33331111-1131-1111-1111-611111193428} -
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Пофиксил.
Хелп, таки поток не прекратился, очень здорово шурует!!!
Выполните скрипт:
Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\windows\explorer.exe:analyzer1.jpg:$DATA'); DeleteFile('c:\windows\explorer.exe:blogger5.jpg:$DATA'); DeleteFile('c:\windows\explorer.exe:crawler1.jpg:$DATA'); DeleteFile('c:\windows\explorer.exe:extractor5.jpg:$DATA'); DeleteFile('c:\windows\explorer.exe:gmail3.jpg:$DATA'); DeleteFile('c:\windows\explorer.exe:googrou4.jpg:$DATA'); DeleteFile('c:\windows\explorer.exe:whois2.jpg:$DATA'); DeleteFile('c:\windows\explorer.exe:yahooblog2.jpg:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:analyzer1.jpg:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:blogger5.jpg:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:crawler1.jpg:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:extractor5.jpg:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:gmail3.jpg:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:googrou4.jpg:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:whois2.jpg:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:yahooblog2.jpg:$DATA'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Руткит Bulknet удален.
Для информации: sysfldr.dll - Trojan.Win32.Pakes.clw (уже удален)
WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.ci (уже удален)
По поводу остальных файликов из Вашего карантина ждем вердикта вирлаба.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Через ваш WinRoute кто-то кроме вас работает?
I am not young enough to know everything...
Bratez - Да, работает одна девушка на 1-м компе.
Там все чисто, я проверил.
Тут вроде уже тоже. Неужели настал миг свободного пользования Интернетом?
Логи прилагаю.
Последний раз редактировалось Powl; 10.04.2009 в 18:42.
Логи чистые. Какие-то проблемы остались?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Нет, все чисто, не наблюдаю проблем.
Спасибо огромное, помогли здорово.
А то антивирус совсем помочь не мог.
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 63
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\explorer.exe:analyzer1.jpg:$data - SpamTool.Win32.Delf.cq (DrWEB: Tool.Spaman)
- c:\\windows\\explorer.exe:extractor5.jpg:$data - SpamTool.Win32.Delf.cr (DrWEB: Tool.Spaman)
- c:\\windows\\explorer.exe:whois2.jpg:$data - SpamTool.Win32.Delf.cq (DrWEB: Tool.Spaman)
- c:\\windows\\explorer.exe:yahooblog2.jpg:$data - SpamTool.Win32.Delf.cp (DrWEB: Tool.Spaman)
- c:\\windows\\system32\\sysfldr.dll - Trojan.Win32.Pakes.clw (DrWEB: Trojan.Proxy.3057)
- c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.ci (DrWEB: Trojan.DownLoader.54123)
Уважаемый(ая) Powl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.