-
Junior Member
- Вес репутации
- 59
Зависание ПК и несанкционированный трафик
Здравствуйте, уважаемые хелперы!
Во время продолжительной нормальной работы в Интернете внезапно ПК перестал реагировать на какие-либо команды. Reset не помог - операционная система загружалась, но ни одно окно не активировалось, при этом винчестер работал в усиленном темпе. После запуска ПК в безопасном режиме удалось просканировать и пролечиться с помощью AVZ, CureIT и установленного AVAST. После этого ПК стал згружаться и работать нормально, если б не одно "но": постоянно идет закачивание с Интернета чего-то непонятного даже при неактивном браузере IE.
Заранее благодарен за помощь,
С уважением,
Алексей
Последний раз редактировалось Alex T; 02.11.2008 в 12:40.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
скачайте C:\WINDOWS\System32\Drivers\Sag06.sys - force delete
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\BN2D0.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN2B5.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN2CB.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN2AB.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN2A4.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN29F.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN29E.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN291.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN282.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN27C.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN275.tmp','');
BC_DeleteSvc('raG18');
BC_DeleteSvc('pwD85');
BC_DeleteSvc('pvD85');
BC_DeleteSvc('fnT74');
BC_DeleteSvc('Cjp07');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Sag06');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Sag06.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Sag06.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Cjp07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\fnT74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\pvD85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\pwD85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\raG18.sys');
DeleteFile('WLCtrl32.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('WinNt32.dll');
DeleteFile('C:\WINDOWS\Temp\BN275.tmp');
DeleteFile('C:\WINDOWS\Temp\BN27C.tmp');
DeleteFile('C:\WINDOWS\Temp\BN282.tmp');
DeleteFile('C:\WINDOWS\Temp\BN291.tmp');
DeleteFile('C:\WINDOWS\Temp\BN29E.tmp');
DeleteFile('C:\WINDOWS\Temp\BN29F.tmp');
DeleteFile('C:\WINDOWS\Temp\BN2A4.tmp');
DeleteFile('C:\WINDOWS\Temp\BN2AB.tmp');
DeleteFile('C:\WINDOWS\Temp\BN2CB.tmp');
DeleteFile('C:\WINDOWS\Temp\BN2B5.tmp');
DeleteFile('C:\WINDOWS\Temp\BN2D0.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ..
-
-
Junior Member
- Вес репутации
- 59
Поясните, что делать. Указанный в ссылке архив скачал, а что делать с ним дальшеи что делать с тем адресом, что Вы написали "C:\WINDOWS\System32\Drivers\Sag06.sys" - force delete (?). Что делать далее со скриптом, я знаю.
С уважением, Алексей
-
Меню File - появится аналог проводника - найти указанный файл, прижать правой кнопкой мыши и в контекстном меню выбрать Force Delete. Согласиться с предложением перезагрузки.
-
-
Junior Member
- Вес репутации
- 59
все сделано
Выполнил все предписанные Вами операции. Почему-то IceSword после выбора "force delete" не запросил перезагрузку (если это, конечно, важно), перезагрузился сам. Тем не менее, сейчас проверяю - несанкционированный трафик не качается.
ПОЭТОМУ ОГРОМНОЕ СПАСИБО и всяческих благ!
С уважением,
Алексей
Последний раз редактировалось Alex T; 02.11.2008 в 12:40.
-
Давай логи повторим. Еще что-то у тебя осталось.
Профиксить надо строчки:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-