NOD32 не лечит....

[ИгOPь]

Помогите плз. Троян. Nod32 не помогает. С компа в инэт лезет левый трафик.

[Rene-gad]

Скачайте IceSword , поищите и удалите через опцию force delete файлы:

Код:

C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\System32\Drivers\Wingm17.sys
C:\WINDOWS\System32\Drivers\Winyf41.sys

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll
O2 - BHO: RuPass module - {954A0637-9147-4b5e-964E-9F20E58FC29D} - C:\Program Files\RuPass\RuPass.dll
O4 - HKLM\..\Run: [advap32] "C:\Program Files\Opera\profile\cache4\OPR058G2.EXE" nothing/r
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [ChristmasTree] C:\DOCUME~1\598B~1\LOCALS~1\Temp\Rar$EX00.985\Christmas.exe
O4 - HKCU\..\Run: [MailSkinner] c:\documents and settings\беляева\мои документы\анна\смайлы для почты\mailskinner.exe
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Winyf41');
 DeleteService('Wingm17');
 DelBHO('{954A0637-9147-4b5e-964E-9F20E58FC29D}');
 DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
 DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
 QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
 QuarantineFile('crypts.dll','');
 QuarantineFile('c:\documents and settings\беляева\мои документы\анна\смайлы для почты\mailskinner.exe','');
 QuarantineFile('C:\DOCUME~1\598B~1\LOCALS~1\Temp\Rar$EX00.985\Christmas.exe','');
 QuarantineFile('C:\Program Files\Opera\profile\cache4\OPR058G2.EXE','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm17.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\Program Files\RuPass\RuPass.dll','');
 QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
 DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
 DeleteFile('C:\Program Files\RuPass\RuPass.dll');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingm17.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winyf41.sys');
 DeleteFile('C:\Program Files\Opera\profile\cache4\OPR058G2.EXE');
 DeleteFile('C:\DOCUME~1\598B~1\LOCALS~1\Temp\Rar$EX00.985\Christmas.exe');
 DeleteFile('crypts.dll');
 DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.

[ИгOPь]

удалил C:\WINDOWS\system32\WinCtrl32.dll
а этих 2-х
C:\WINDOWS\System32\Drivers\Wingm17.sys
C:\WINDOWS\System32\Drivers\Winyf41.sys
почемуто не было ...

.. пофиксил ...
... Выполнил скрипт..
... почистил (по софту прошелсятоже) ...
... логи сделал - на мой взгляд все чисто
... карантин пустой

--------------------------------------------
to Rene-Gad.
Можеш объяснить как ты анализировал полученные логи и как потом получил скрипт?
А то я как "обезьяна" выполнил инструкции ничего не понимая в процессе....
+ мне в офисе (теперь) надо обязательно проверить и остальные компы (не хочу занимать чужое время на решение моих проблем.....)

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFile('WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DelWinlogonNotifyByKeyName('WinCtrl32');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

3. Повторите логи.

[Rene-gad]

мне в офисе (теперь) надо обязательно проверить и остальные компы (не хочу занимать чужое время на решение моих проблем...

дави тут: http://virusinfo.info/showpost.php?p=159072&postcount=1

[PavelA]

C:\WINDOWS\system32\winsys2.exe - вот этого загрузи в карантин и отдельно одним куском пришли для проверки.

[ИгOPь]

файл положил

[PavelA]

Странная какая-то программа это. + использует madchook.dll

Если не знаешь, что это такое и зачем используется, думаю можно ее будет удалить.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены