Собственно поймал трояна который занимается рассылкой спама, из-за этого очень большой исходящий трафик, и невозможность работы в интернете.
Собственно поймал трояна который занимается рассылкой спама, из-за этого очень большой исходящий трафик, и невозможность работы в интернете.
Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы C:\WINDOWS\System32\Drivers\Jsw26.sys, C:\WINDOWS\System32\drivers\Xrc28.sys, C:\WINDOWS\System32\drivers\Rae72.sys, C:\WINDOWS\system32\WLCtrl32.dll.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\idaw64.exe',''); QuarantineFile('c:\windows\lsass.exe',''); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA',''); QuarantineFile('C:\WINDOWS\kavir.exe',''); QuarantineFile('C:\WINDOWS\system32\sam.exe.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys',''); QuarantineFile('C:\DOCUME~1\0BC6~1\LOCALS~1\Temp\ASFWHide',''); QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe',''); QuarantineFile('C:\WINDOWS\TEMP\0.EXE',''); QuarantineFile('C:\DOCUME~1\0BC6~1\LOCALS~1\Temp\2\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\head2.exe',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\head2.exe'); DeleteFile('C:\WINDOWS\System32\drivers\Rae72.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Xrc28.sys'); DeleteFile('C:\DOCUME~1\0BC6~1\LOCALS~1\Temp\2\svchost.exe'); DeleteFile('C:\WINDOWS\TEMP\0.EXE'); DeleteFile('C:\WINDOWS\system32\mnmsrvc.exe'); DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Jsw26.sys'); DeleteFile('WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\sam.exe.exe'); DeleteFile('C:\WINDOWS\kavir.exe'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA'); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temp:svchosm.exe:$DATA'); DeleteFile('c:\windows\lsass.exe'); DeleteFile('C:\WINDOWS\system32\idaw64.exe'); BC_ImportDeletedList; BC_DeleteSvc('Jsw26'); BC_DeleteSvc('Rae72'); BC_DeleteSvc('Xrc28'); BC_DeleteSvc('grande48'); BC_DeleteSvc('Google Online Services'); BC_DeleteSvc('mnmsrvc'); BC_DeleteSvc('PolicyAgent'); BC_DeleteSvc('FCI'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=21999
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Повторите логи.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\idaw64.exe,C:\WIND OWS\system32\deviceemulator.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: (no name) - {F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2} - c:\autoex.dll (file missing) O2 - BHO: Gamburg provider - {FFFFFFFF-D71D-41e4-A699-F506DBD097F0} - msindc.dll (file missing)
Файла Jsw26.sys в системе обнаружено небыло.
строка F2 - REG:system.ini: <...> system32\ntos.exe, - отсутствовала.
Карантин выслал.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\networkservice\\local settings\\temp:svchosm.exe:$data - Trojan.Win32.Inject.bcj (DrWEB: Trojan.Spambot.3154)
- c:\\windows\\lsass.exe - Trojan.Win32.Agent.iva (DrWEB: Trojan.DownLoader.5726
- c:\\windows\\system32\\head2.exe - Trojan-Dropper.Win32.Agent.qry (DrWEB: Trojan.Virtumod.based.22)
- c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.aug (DrWEB: Trojan.Proxy.2684)
- c:\\windows\\system32\\svchost.exe:ext.exe:$data - Trojan.Win32.Inject.bcj (DrWEB: Trojan.Spambot.3154)
Уважаемый(ая) VVChaif, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.