прошу помочь в лечении от вируса, т.к. обычным путем его устранить не получается
Компьютер отправляет много пакетов данных и съедает много траффика
прошу помочь в лечении от вируса, т.к. обычным путем его устранить не получается
Компьютер отправляет много пакетов данных и съедает много траффика
Последний раз редактировалось Exciter; 03.08.2008 в 20:50.
отключите восстановление системы !!!
скачайте
C:\WINDOWS\System32\drivers\Dsi25.sys - - force delete
C:\WINDOWS\system32\Drivers\Xur23.sys -- force delete
выполните скрипт ...
пришлите карантин согласноприложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\hnetcfg.dll',''); QuarantineFile('c:\windows\system32\winnt32.dll',''); QuarantineFile('WLCtrl32.dll',''); DeleteService('Xci71'); QuarantineFile('C:\WINDOWS\System32\Drivers\Xci71.sys',''); DeleteService('Tqw62'); QuarantineFile('C:\WINDOWS\System32\Drivers\Tqw62.sys',''); DeleteService('spO15'); QuarantineFile('C:\WINDOWS\System32\Drivers\spO15.sys',''); DeleteService('Sgm23'); QuarantineFile('C:\WINDOWS\System32\Drivers\Sgm23.sys',''); DeleteService('Rxe03'); QuarantineFile('C:\WINDOWS\System32\Drivers\Rxe03.sys',''); DeleteService('Oub47'); QuarantineFile('C:\WINDOWS\System32\Drivers\Ojg82.sys',''); DeleteService('Oeb51'); QuarantineFile('C:\WINDOWS\System32\Drivers\Oeb51.sys',''); DeleteService('Nrx62'); QuarantineFile('C:\WINDOWS\System32\Drivers\Nrx62.sys',''); DeleteService('Ixe08'); QuarantineFile('C:\WINDOWS\System32\Drivers\Ixe08.sys',''); DeleteService('gkQ71'); QuarantineFile('C:\WINDOWS\System32\Drivers\gkQ71.sys',''); DeleteService('Fta36'); QuarantineFile('C:\WINDOWS\System32\Drivers\Fta36.sys',''); DeleteService('Fgm16'); QuarantineFile('C:\WINDOWS\System32\Drivers\Fgm16.sys',''); DeleteService('Cro51'); QuarantineFile('C:\WINDOWS\System32\Drivers\Cro51.sys',''); DeleteService('Bhc82'); QuarantineFile('C:\WINDOWS\System32\Drivers\Bhc82.sys',''); DeleteService('tcpsr'); DeleteService('ServiceLayer'); QuarantineFile('ServiceLayer.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Xur23.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Dsi25.sys',''); DeleteFile('C:\WINDOWS\System32\drivers\Dsi25.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Xur23.sys'); DeleteFile('ServiceLayer.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Bhc82.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Cro51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Fgm16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\gkQ71.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ixe08.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Nrx62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Oeb51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ojg82.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Oub47.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Rxe03.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Sgm23.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\spO15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Tqw62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Xci71.sys'); DeleteFile('WLCtrl32.dll'); DeleteFile('c:\windows\system32\winnt32.dll'); DeleteFile('C:\WINDOWS\system32\drivers\gkQ71.sys'); DeleteFile('C:\WINDOWS\system32\drivers\spO15.sys'); DeleteFile('C:\WINDOWS\system32\hnetcfg.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
удалилC:\WINDOWS\System32\drivers\Dsi25.sys - - force delete
C:\WINDOWS\system32\Drivers\Xur23.sys -- force delete
скрипт выполнил
Последний раз редактировалось Exciter; 03.08.2008 в 20:50.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
- Выполните скриптКод:O20 - AppInit_DLLs: O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing) O20 - Winlogon Notify: WinNt32 - WinNt32.dll (file missing) O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Xur23'); DeleteService('Dsi25'); DeleteService('Fta36'); QuarantineFile('C:\WINDOWS\System32\Drivers\Dsi25.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Xur23.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Fta36.sys',''); QuarantineFile('C:\WINDOWS\system32\mstask.dll',''); DeleteFile('C:\WINDOWS\System32\Drivers\Fta36.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Xur23.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Dsi25.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Xur23'); BC_DeleteSvc('Dsi25'); BC_DeleteSvc('Fta36'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
всё сделал, как написали
Последний раз редактировалось Exciter; 03.08.2008 в 20:50.
эм... по красной ссылке их закачал
значит я не так понял. Где карантин нужно взять?
Последний раз редактировалось Exciter; 03.08.2008 в 20:50.
Отключите антивирус и интернет!
Скачать,меню,File,появится аналог проводника,найти:
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.Код:C:\WINDOWS\System32\drivers\tcpsr.sys C:\WINDOWS\system32\Drivers\Xur23.sys C:\WINDOWS\system32\Drivers\Dsi25.sys C:\WINDOWS\system32\WinNt32.dll
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('tcpsr'); DeleteService('Dsi25'); DeleteFile('C:\WINDOWS\system32\Drivers\Dsi25.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Xur23.sys'); DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Dsi25'); BC_DeleteSvc('Xur23'); BC_Activate; RebootWindows(true); end.
после того, как я отчистил темп папки, кэш и корзину антивирус смог удалить winNT32.dll и
тоже удалились, но то ли в следствии очистки тем папок, то ли ещё из-за чего-то перестал работать брандмауэр windows и раньше была локальная сеть через Wi-fi, а теперь создать локалку не удаётся.C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\system32\Drivers\Dsi25.sys
оставшийся
я удалил, как написалиC:\WINDOWS\system32\Drivers\Xur23.sys
P.S.когда появились проблемы с локалкой и брандмауэром пробовал восстановить реестр, но выдаёт ошибку (ошибка при доступе к реестру)1. Нажмите кнопку Пуск и выберите команду Выполнить.
2. В поле Открыть введите regedit и нажмите клавишу ВВОД.
3. Выберите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\VolumeCaches
4. В меню Файл выберите команду Экспорт, нажмите кнопку Рабочий стол, в поле Имя файла введите VolumeCaches и нажмите кнопку Сохранить.
Примечание. В файле VolumeCaches будет храниться резервная копия раздела реестра VolumeCaches. Если после выполнения данной процедуры возникнут проблемы, восстановите информацию в реестре, используя данную резервную копию. Чтобы восстановить раздел реестра VolumeCaches, дважды щелкните файл VolumeCaches.reg, находящийся на рабочем столе, и нажмите кнопку Да.
5. Разверните следующий раздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\VolumeCaches
6. Удалите раздел Compress old files.
7. Закройте редактор реестра.
В логах чисто. Но правила выполнять надо:
У Вас - все наоборот.Перед выполнением следующих пунктов (8, 10, 12) закройте свои антивирусные программы, игры, текстовые редакторы и любые другие программы, оставьте запущенным только программу-браузер
Систему до Сервис Пак 3 обновите.Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Уважаемый(ая) Exciter, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.