Какой-то вирус или троян использует много трафика, нагружая процессор.
Какой-то вирус или троян использует много трафика, нагружая процессор.
Отключите восстановление системы!
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: (no name) - {D6F180CB-E683-41a3-8CD2-C53DBAA0530D} - (no file) O4 - Startup: PowerReg Scheduler.exe O4 - Startup: MSWin-55050225.exe
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Daniyar\Templates\A.kotnorB.com',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winci04.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg40.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\bhM83.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Nsx27.sys',''); QuarantineFile('C:\Temp\924t5eah.sys',''); QuarantineFile('C:\WINDOWS\SYSTEM32\WinNt64.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\spoolw.dll',''); QuarantineFile('C:\WINDOWS\system32\basegegiw32.dll',''); DeleteFile('C:\WINDOWS\system32\basegegiw32.dll'); DeleteFile('C:\WINDOWS\system32\spoolw.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\WinNt64.dll'); DeleteFile('C:\Temp\924t5eah.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Nsx27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\bhM83.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbg40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winci04.sys'); DeleteFile('C:\Documents and Settings\Daniyar\Templates\A.kotnorB.com'); DeleteFile('C:\WINDOWS\Tasks\At1.job'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('bhM83'); BC_DeleteSvc('Fkp51'); BC_DeleteSvc('Nty40'); BC_DeleteSvc('rhxxuool'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Uaf84'); BC_DeleteSvc('Vbg51'); BC_DeleteSvc('Wdi27'); BC_DeleteSvc('Winbg40'); BC_DeleteSvc('Winci04'); BC_DeleteSvc('Winek73'); BC_DeleteSvc('Nsx27'); BC_DeleteSvc('SENSlanmanworkstation'); BC_DeleteSvc('Lpo_lipdkxmlprov'); BC_DeleteSvc('Lpo_lipdk'); BC_DeleteSvc('ImapiServiceHidServ'); BC_DeleteSvc('Googleupnphost'); BC_DeleteSvc('Google Online Services'); BC_DeleteSvc('EventlogAudioSrv'); BC_DeleteSvc('Dnscacheaspnet_state'); BC_DeleteSvc('DcomLaunchaspnet_stateNtLmSsp'); BC_DeleteSvc('aspnet_stateNtLmSsp'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=25474).
Сделайте новые логи.
I am not young enough to know everything...
1. Когда можно будет заново включить восстановление системы?
2. Как обезопасить себя от дальнейшего вторжения ЭТИХ (что обнаружил AVZ) вирусов?
Последний раз редактировалось NeedHelpD; 28.06.2008 в 17:54.
Новые логи.
Восстановление системы можно будет включить только после завершения лечения, а оно еще в самом разгаре.
Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Nsx27.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Потом выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Downloaded Program Files\rmxfvw4.dll',''); QuarantineFile('C:\WINDOWS\DOWNLO~1\vccfe.ocx',''); QuarantineFile('C:\WINDOWS\DOWNLO~1\hmvcfe.ocx',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winta73.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winrx38.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Windj16.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winbh16.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ATE_PROCMON.sys',''); QuarantineFile('ATE_PROCMON.sys',''); QuarantineFile('srv.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Nsx27.sys',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\Nsx27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbh16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windj16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrx38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winta73.sys'); DeleteFile('C:\WINDOWS\System32\WinCtrl32.dll'); DelWinlogonNotifyByKeyName('WinCtrl32'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Nsx27'); BC_DeleteSvc('NetDDEdsdmThemes'); BC_DeleteSvc('ImapiServiceHidServShellHWDetection'); BC_DeleteSvc('EventlogAudioSrvDhcp'); BC_DeleteSvc('DhcpAudioSrv'); BC_DeleteSvc('Winta73'); BC_DeleteSvc('Winrx38'); BC_DeleteSvc('Windj16'); BC_DeleteSvc('Winbh16'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=25474 ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Новые логи
Последний раз редактировалось NeedHelpD; 29.06.2008 в 14:36.
Вам же дали ссылку, куда загружать архив с вашим трояном. Кстати, архив должен быть с паролем virus. Уберите его из сообщения!
В логах все нормально, только осталось немножко мусора.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O9 - Extra button: (no name) - DctMapping - (no file)
Компьютер перезагрузится.Код:begin BC_DeleteSvc('tcpsr'); BC_Activate; RebootWindows(true); end.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Удалить архив никак не получается - сообщение типа "Не имеете доступ к данной странице".
Новые логи
Спасибо большое за помощь! Очень долго уже пытаюсь избавиться от этого трояна. Кстати, есть смысл одновременно использовать drweb и outpost?
Лишний архив удалил.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 55
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\basegegiw32.dll - Trojan.Win32.SubSys.dj
- c:\\windows\\system32\\drivers\\bhm83.sys - Trojan-Downloader.Win32.Mutant.aim
- c:\\windows\\system32\\drivers\\winbg40.sys - Trojan-Downloader.Win32.Mutant.aim
- c:\\windows\\system32\\spoolw.dll - Trojan-Mailfinder.Win32.Agent.lz (DrWEB: Trojan.EmailSpy.124)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ail (DrWEB: Trojan.DownLoader.63553)
Уважаемый(ая) NeedHelpD, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.