Показано с 1 по 19 из 19.

проблема с трафиком и входом в Win (заявка № 22308)

  1. #1
    Junior Member Репутация
    Регистрация
    30.04.2008
    Сообщений
    9
    Вес репутации
    32

    Exclamation проблема с трафиком и входом в Win

    Добрый день.Появилась проблема с уходящим трафиком,практически равен входящему.
    В приложениях часто можно заметить некие delextra.exe,spools.exe,kavir.exe.
    При вводе пароля при входе в Win появляется "загрузка личных параметров".Затем выдает ошибку "explorer.exe".
    Спасает только мена пользователя.В последний раз при выходе с интернета вылетело в синий экран.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Скачайте IceSword.

    Запустите программу.
    Внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файлы C:\WINDOWS\system32\Drivers\Jry42.sys, C:\WINDOWS\system32\Drivers\Yby33.sys, C:\WINDOWS\system32\WLCtrl32.dll.
    Нажмите по нему правой кнопкой мыши и выберите force delete.
    На запрос потверждения ответьте "да".
    Перезагрузите компьютер.
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\tmp_kfn.dll','');
     QuarantineFile('C:\WINDOWS\svchost.com','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
     QuarantineFile('C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\7F43.exe','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     QuarantineFile('c:\windows\system32\drivers\spools.exe','');
     TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
     QuarantineFile('c:\windows\system32\msmouse.exe','');
     QuarantineFile('c:\windows\msauc.exe','');
     TerminateProcessByName('c:\windows\msauc.exe');
     QuarantineFile('c:\windows\system32\lcss.exe','');
     TerminateProcessByName('c:\windows\system32\lcss.exe');
     QuarantineFile('c:\windows\kavir.exe','');
     TerminateProcessByName('c:\windows\kavir.exe');
     DeleteFile('c:\windows\kavir.exe');
     DeleteFile('c:\windows\system32\lcss.exe');
     DeleteFile('c:\windows\msauc.exe');
     DeleteFile('c:\windows\system32\drivers\spools.exe');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Jry42.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Yby33.sys');
     DeleteFile('C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\7F43.exe');
     DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
     DeleteFile('C:\Documents and Settings\Владелец\cftmon.exe');
     DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('WLCtrl32.dll');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe');
     DeleteFile('C:\WINDOWS\svchost.com');
     DeleteFile('C:\WINDOWS\system32\tmp_kfn.dll');
    BC_ImportAll;
    BC_DeleteSvc('Jry42');
    BC_DeleteSvc('Yby33');
    BC_DeleteSvc('Schedule');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=22308

    В хост файл вы вносили записи?

    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    30.04.2008
    Сообщений
    9
    Вес репутации
    32
    Все сделал...но
    теперь все проги запускать можно только от другого имени...
    и архив не создается,т.к. "отказано в доступе".
    И что делать?

  5. #4
    Junior Member Репутация
    Регистрация
    30.04.2008
    Сообщений
    9
    Вес репутации
    32
    нет,ничего не прописывал.
    Логи вроде сделать удалось,и карантин отправить тоже.Но программы по прежнему запускаются криво.
    Глюк при загрузке пропал,надеюсь с этим ок.
    Вложения Вложения

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    BC_QrSvc('SamSsALG ');
    QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
    QuarantineFile('C:\WINDOWS\system32\1037d.exe','');
    DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}  ');
    DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe');
    BC_ImportALL;
    ExecuteSysClean;    
    BC_Activate;
    ExecuteRepair(1 );
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22308

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

  7. #6
    Junior Member Репутация
    Регистрация
    30.04.2008
    Сообщений
    9
    Вес репутации
    32
    Пока большое спасибо.Все вроде ок.
    Оставшиеся "мелочи":
    при загрузке много незакрытых окон про инициализацию драйвера.
    в корневом каталоге лежит delextra.exe,удалятся не хочет...
    Карантин выслал.

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    1037d.exe-Backdoor.Win32.IRCBot.csn

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteService('SamSsALG');
    DeleteFile('C:\WINDOWS\system32\1037d.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('SamSsALG ');    
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи.

  9. #8
    Junior Member Репутация
    Регистрация
    30.04.2008
    Сообщений
    9
    Вес репутации
    32
    логи:
    Вложения Вложения

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Пришел ответ аналитиков MSmouse.exe-Trojan-Proxy.Win32.Agent.aii

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteService('MS Windows Mouse');
    DeleteFile('C:\WINDOWS\system32\MSmouse.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('MS Windows Mouse ');
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите лог virusinfo_syscheck.

  11. #10
    Junior Member Репутация
    Регистрация
    30.04.2008
    Сообщений
    9
    Вес репутации
    32
    вот:
    Вложения Вложения

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Вот эти 2 файлика delextra.exe,MSmouse.sys пришлите согласно приложению 2 правил.

  13. #12
    Junior Member Репутация
    Регистрация
    30.04.2008
    Сообщений
    9
    Вес репутации
    32
    Про delextra-пишет добавлен,но на деле его нет в карантине.
    Файл по прежнему висит прямо на диске C.(38кб)
    Второй файл выслал.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ...
    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     BC_QrSvc('TosIde');
     QuarantineFile('C:\WINDOWS\system32\MSmouse.sys','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....

  15. #14
    Junior Member Репутация
    Регистрация
    30.04.2008
    Сообщений
    9
    Вес репутации
    32
    отправил

  16. #15
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    MSmouse.sys - Trojan-Proxy.Win32.Agent.aii, по поводу userinit.exe - нужен ответ аналитиков
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\MSmouse.sys');
    BC_ImportDeletedList;
    BC_DeleteSvc('TosIde');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделайте лог virusinfo_syscheck

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    userinit.exe_

    Вредоносный код в файле не обнаружен.

  18. #17
    Junior Member Репутация
    Регистрация
    30.04.2008
    Сообщений
    9
    Вес репутации
    32
    высылаю еще раз файл.
    Пока есть вопрос только с кучей окон о инициализации драйверов,которые выскакивыют при загрузке.Как их победить?
    Вложения Вложения

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    удалите все антивирусы ... затем установите один ....
    сделайте логи начиная с пункта 10 правил ...

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,541
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 88
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\localservice\\cftmon.exe - Worm.Win32.Socks.ex (DrWEB: Win32.HLLW.Socks.4)
      2. c:\\recycler\\s-1-5-21-1482476501-1644491937-682003330-1013\\sys32.exe - Worm.Win32.AutoRun.dor (DrWEB: Trojan.Inject.3295)
      3. c:\\windows\\kavir.exe - Trojan-Downloader.Win32.Cntr.q (DrWEB: Trojan.Packed.431)
      4. c:\\windows\\msauc.exe - Trojan.Win32.Agent.iii (DrWEB: Trojan.PWS.ICQSniff.25)
      5. c:\\windows\\svchost.com - Virus.Win32.Neshta.a (DrWEB: Win32.HLLP.Neshta)
      6. c:\\windows\\system32\\drivers\\spools.exe - Worm.Win32.Socks.ex (DrWEB: Win32.HLLW.Socks.4)
      7. c:\\windows\\system32\\lcss.exe - Backdoor.Win32.DsBot.ox (DrWEB: Win32.HLLW.MyBot.1)
      8. c:\\windows\\system32\\msmouse.exe - Trojan-Proxy.Win32.Agent.aii (DrWEB: Trojan.Proxy.3207)
      9. c:\\windows\\system32\\msmouse.sys - Trojan-Proxy.Win32.Agent.aii (DrWEB: Trojan.NtRootKit.1065)
      10. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.bhz (DrWEB: Trojan.Packed.511)
      11. c:\\windows\\system32\\tmp_kfn.dll - Trojan-Downloader.Win32.Small.vwd (DrWEB: Trojan.DownLoader.14310)
      12. c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Small.uvt (DrWEB: Trojan.DownLoader.57335)
      13. c:\\windows\\system32\\1037d.exe - Backdoor.Win32.IRCBot.csn (DrWEB: BackDoor.IRC.Nite)
      14. c:\\windows\\temp\\winlogon.exe - SpamTool.Win32.Agent.is (DrWEB: Trojan.Spambot.2496)


  • Уважаемый(ая) scandy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Проблема со входом ВК
      От женч в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.04.2012, 19:44
    2. Проблема с трафиком
      От orbison в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.10.2010, 13:52
    3. Проблема с огромным исходящим трафиком
      От vladars в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.07.2009, 15:09
    4. Проблема с исходящим трафиком
      От RKP в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 02:08
    5. проблема с входом в виндовс
      От Karlson в разделе Microsoft Windows
      Ответов: 16
      Последнее сообщение: 29.05.2008, 21:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00864 seconds with 23 queries