Junior Member
Вес репутации
59
проблема с трафиком и входом в Win
Добрый день.Появилась проблема с уходящим трафиком,практически равен входящему.
В приложениях часто можно заметить некие delextra.exe,spools.exe,kavir.exe.
При вводе пароля при входе в Win появляется "загрузка личных параметров".Затем выдает ошибку "explorer.exe".
Спасает только мена пользователя.В последний раз при выходе с интернета вылетело в синий экран.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачайте IceSword .
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы C:\WINDOWS\system32\Drivers\Jry42.sys, C:\WINDOWS\system32\Drivers\Yby33.sys, C:\WINDOWS\system32\WLCtrl32.dll.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\tmp_kfn.dll','');
QuarantineFile('C:\WINDOWS\svchost.com','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\7F43.exe','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
QuarantineFile('c:\windows\system32\msmouse.exe','');
QuarantineFile('c:\windows\msauc.exe','');
TerminateProcessByName('c:\windows\msauc.exe');
QuarantineFile('c:\windows\system32\lcss.exe','');
TerminateProcessByName('c:\windows\system32\lcss.exe');
QuarantineFile('c:\windows\kavir.exe','');
TerminateProcessByName('c:\windows\kavir.exe');
DeleteFile('c:\windows\kavir.exe');
DeleteFile('c:\windows\system32\lcss.exe');
DeleteFile('c:\windows\msauc.exe');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Jry42.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Yby33.sys');
DeleteFile('C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\7F43.exe');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\Documents and Settings\Владелец\cftmon.exe');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe');
DeleteFile('C:\WINDOWS\svchost.com');
DeleteFile('C:\WINDOWS\system32\tmp_kfn.dll');
BC_ImportAll;
BC_DeleteSvc('Jry42');
BC_DeleteSvc('Yby33');
BC_DeleteSvc('Schedule');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=22308
В хост файл вы вносили записи?
Повторите логи.
Junior Member
Вес репутации
59
Все сделал...но
теперь все проги запускать можно только от другого имени...
и архив не создается,т.к. "отказано в доступе".
И что делать?
Junior Member
Вес репутации
59
нет,ничего не прописывал.
Логи вроде сделать удалось,и карантин отправить тоже.Но программы по прежнему запускаются криво.
Глюк при загрузке пропал,надеюсь с этим ок.
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_QrSvc('SamSsALG ');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\1037d.exe','');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} ');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1 );
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22308
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Junior Member
Вес репутации
59
Пока большое спасибо.Все вроде ок.
Оставшиеся "мелочи":
при загрузке много незакрытых окон про инициализацию драйвера.
в корневом каталоге лежит delextra.exe,удалятся не хочет...
Карантин выслал.
1037d.exe-Backdoor.Win32.IRCBot.csn
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('SamSsALG');
DeleteFile('C:\WINDOWS\system32\1037d.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('SamSsALG ');
BC_Activate;
RebootWindows(true);
end.
Повторите логи.
Junior Member
Вес репутации
59
Вложения
Пришел ответ аналитиков MSmouse.exe-Trojan-Proxy.Win32.Agent.aii
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('MS Windows Mouse');
DeleteFile('C:\WINDOWS\system32\MSmouse.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('MS Windows Mouse ');
BC_Activate;
RebootWindows(true);
end.
Повторите лог virusinfo_syscheck.
Junior Member
Вес репутации
59
Вложения
Вот эти 2 файлика delextra.exe,MSmouse.sys пришлите согласно приложению 2 правил.
Junior Member
Вес репутации
59
Про delextra-пишет добавлен,но на деле его нет в карантине.
Файл по прежнему висит прямо на диске C.(38кб)
Второй файл выслал.
выполните скрипт ...
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
BC_QrSvc('TosIde');
QuarantineFile('C:\WINDOWS\system32\MSmouse.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
Junior Member
Вес репутации
59
MSmouse.sys - Trojan-Proxy.Win32.Agent.aii , по поводу userinit.exe - нужен ответ аналитиков
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\MSmouse.sys');
BC_ImportDeletedList;
BC_DeleteSvc('TosIde');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделайте лог virusinfo_syscheck
userinit.exe_
Вредоносный код в файле не обнаружен.
Junior Member
Вес репутации
59
высылаю еще раз файл.
Пока есть вопрос только с кучей окон о инициализации драйверов,которые выскакивыют при загрузке.Как их победить?
Вложения
удалите все антивирусы ... затем установите один ....
сделайте логи начиная с пункта 10 правил ...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 4 Обработано файлов: 88 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\localservice\\cftmon.exe - Worm.Win32.Socks.ex (DrWEB: Win32.HLLW.Socks.4) c:\\recycler\\s-1-5-21-1482476501-1644491937-682003330-1013\\sys32.exe - Worm.Win32.AutoRun.dor (DrWEB: Trojan.Inject.3295) c:\\windows\\kavir.exe - Trojan-Downloader.Win32.Cntr.q (DrWEB: Trojan.Packed.431) c:\\windows\\msauc.exe - Trojan.Win32.Agent.iii (DrWEB: Trojan.PWS.ICQSniff.25) c:\\windows\\svchost.com - Virus.Win32.Neshta.a (DrWEB: Win32.HLLP.Neshta) c:\\windows\\system32\\drivers\\spools.exe - Worm.Win32.Socks.ex (DrWEB: Win32.HLLW.Socks.4) c:\\windows\\system32\\lcss.exe - Backdoor.Win32.DsBot.ox (DrWEB: Win32.HLLW.MyBot.1) c:\\windows\\system32\\msmouse.exe - Trojan-Proxy.Win32.Agent.aii (DrWEB: Trojan.Proxy.3207) c:\\windows\\system32\\msmouse.sys - Trojan-Proxy.Win32.Agent.aii (DrWEB: Trojan.NtRootKit.1065) c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.bhz (DrWEB: Trojan.Packed.511) c:\\windows\\system32\\tmp_kfn.dll - Trojan-Downloader.Win32.Small.vwd (DrWEB: Trojan.DownLoader.14310) c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Small.uvt (DrWEB: Trojan.DownLoader.57335) c:\\windows\\system32\\1037d.exe - Backdoor.Win32.IRCBot.csn (DrWEB: BackDoor.IRC.Nite) c:\\windows\\temp\\winlogon.exe - SpamTool.Win32.Agent.is (DrWEB: Trojan.Spambot.2496)