Троян пытаеться отослать инфу файрволл пишет SVCHOST.exe пытается отсылать на IP 216.195.61.61 Помогите плиз.
Троян пытаеться отослать инфу файрволл пишет SVCHOST.exe пытается отсылать на IP 216.195.61.61 Помогите плиз.
Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Ant85.sys.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\Ant85.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); BC_ImportAll; BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Ant85'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=26200
Повторите логи.
Ничего не помогло вообще только Winlogon еще долбиться начал.
Наверное, что-то сделали не так - Ant85.sys живее всех живых.
1. Отключаем интернет, НОД и Аутпост.
2. Удаляем Ant85.sys IceSword'ом (Force Delete).
3. Сразу же, не перезагружаясь, выполняем вышеуказанный скрипт в AVZ.
Еще не было случая, чтобы не помогло.
I am not young enough to know everything...
Помогите на компьетере опять тоже самое но предыдущий способ лечения результатов не дает. Пожалуйста помогите
Файлы не удаеться прикрепить
http://ifolder.ru/7467915
http://ifolder.ru/7467931
http://ifolder.ru/7467941
Последний раз редактировалось DKG; 25.07.2008 в 18:12.
Новые логи прикрепите.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
по обычному логи не удаёться прикрепить пишет не т доступа залил ссылки дал см.выше
Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Winmp58.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Потом выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\AgataSoft_Image_Button.exe',''); QuarantineFile('C:\PROGRA~1\GISMET~1\GISMET~1.DLL',''); QuarantineFile('C:\WINDOWS\Downloaded Program Files\yndbar.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\npf.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\actvcomm.sys',''); QuarantineFile('srv.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winmp58.sys',''); QuarantineFile('C:\WINDOWS\system32\zvprtmon5.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\stremu.SYS',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_'); DeleteFile('C:\WINDOWS\system32\Drivers\Winmp58.sys'); DelWinlogonNotifyByKeyName('WinCtrl32'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Winmp58'); BC_DeleteSvc('mi-raysat_3dsmax8EhttpSrv'); BC_DeleteSvc('EhttpSrvDhcp'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=26200 ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
карантин выслал ise.exe explorer.exe проблема как выслать Winmp58.sys ? Новые логи прикрепил.
Файл присылать в архиве с паролем virus по той же ссылке.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Новый диск\Школа контраварийного вождения\setup\Internet Explorer 6 Rus\check_ie.exe',''); DeleteFile('C:\Program Files\AgataSoft_Image_Button.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe'); DelBHO('10954C80-4F0F-11d3-B17C-00C0DFE39456'); DelCLSID('08B0E5C0-4FCB-11CF-AAX5-90401C608512'); BC_ImportDeletedList; ExecuteSysClean; DelWinlogonNotifyByKeyName('WinCtrl32'); BC_DeleteSvc('winmgmtupnphost'); BC_DeleteSvc('MSDTCEvtEng'); BC_Activate; RebootWindows(true); end.
Пришлите карантин.
Вот это Вам знакомо?:
Если незнакомо, то пофиксите в HijackThis эту строчку.Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{392F69B9-E55B-4B8E-9CF0-33803D3D2838}: NameServer = 80.254.111.254,195.161.172.254
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 32
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aqh (DrWEB: Trojan.DownLoad.3187)
Уважаемый(ая) DKG, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.