Junior Member
Вес репутации
58
Улет трафика неизвестно куда...
Здравствуйте. В последнее время сразу же при подключении к интернету стала идти большая нагрузка на процессор, а трафик кончаться даже если интернет просто включен. С помощью программы ProcessExplorer выяснил что при подключении к инету появляются 2 процесса svchost.exe и именно от этих 2 процессов идет нагрузка, при уничтожении процессов все стает на свои места и трафик не уходит.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачайте последнюю версию Хайджека по ссылке в правилах.
Скачайте IceSword , поищите и удалите через опцию force delete файл:
Код:
C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\System32\Drivers\Winej72.sys
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winye83');
DeleteService('Winua50');
DeleteService('Winsx04');
DeleteService('Winqv15');
DeleteService('Winpu72');
DeleteService('Winns48');
DeleteService('Winns04');
DeleteService('Winmr51');
DeleteService('Wingl05');
DeleteService('Wingl04');
DeleteService('AppMgmtSpooler');
DeleteService('CiSvcdmadmin');
DeleteService('COMSysAppALG');
DeleteService('CryptSvcSharedAccess');
DeleteService('CryptSvcSharedAccessPmlWmdmPmSN');
DeleteService('CryptSvcSharedAccesswinmgmtwuauservVSSERSvcNetman');
DeleteService('DhcpClipSrv');
DeleteService('DhcpSCardSvrDhcpClipSrv');
DeleteService('dmserverShellHWDetection');
DeleteService('DnscacheWMPNetworkSvcRasManUPSWudfSvcupnphost');
DeleteService('ERSvcMessenger');
DeleteService('ERSvcMessengerCOMSysApp');
DeleteService('ERSvcNBService');
DeleteService('FastUserSwitchingCompatibilitySpooler');
DeleteService('FLEXnetNetlogon');
DeleteService('helpsvcRasManUPSSharedAccess');
DeleteService('ImapiService Driver HPZ12');
DeleteService('LmHostsNetDDEdmadmin');
DeleteService('MessengerCOMSysApp');
DeleteService('MicrosoftRasManUPS');
DeleteService('NBServiceNetDDE');
DeleteService('NetDDEdmadmin');
DeleteService('NetDDEdsdm Service');
DeleteService('NetDDEdsdmMicrosoftRasManUPS');
DeleteService('NtLmSspWudfSvcDnscache');
QuarantineFile('srv.exe','');
DeleteService('oseSCardSvr');
DeleteService('PlugPlay Driver HPZ12');
DeleteService('PlugPlayPlugPlay');
DeleteService('PlugPlayPlugPlayWmiApSrv');
DeleteService('PlugPlayVSS');
DeleteService('PmlCryptSvc');
DeleteService('PmlEventlog');
DeleteService('PmlWmdmPmSN');
DeleteService('PmlWudfSvcAVPNtmsSvcMessengerCOMSysApp');
DeleteService('RasManNetDDEdmadmin');
DeleteService('RasManUPS');
DeleteService('RasManUPSSharedAccess');
DeleteService('RasManUPSWudfSvcupnphost');
DeleteService('RemoteAccessClipSrv');
DeleteService('RemoteAccessClipSrvWMPNetworkSvc');
DeleteService('RemoteAccessCryptSvcSharedAccessPmlWmdmPmSN');
DeleteService('SCardSvrDhcpClipSrv');
DeleteService('SCardSvrDhcpClipSrvEventlog');
DeleteService('SCardSvrERSvcMessengerCOMSysApp');
DeleteService('seclogonPolicyAgent');
DeleteService('SpoolerAppMgmtSpooler');
DeleteService('srservicePlugPlayPlugPlay');
DeleteService('SSDPSRVFastUserSwitchingCompatibility');
DeleteService('SSDPSRVSCardSvr');
DeleteService('stisvcRasManUPS');
DeleteService('ThemesDhcpClipSrv');
DeleteService('ThemesDhcpClipSrvwscsvcNtLmSspNBService');
DeleteService('VSSERSvc');
DeleteService('VSSERSvcNetman');
DeleteService('VSSERSvcNetmandmadmin');
DeleteService('VSSSwPrv');
DeleteService('winmgmtwuauserv');
DeleteService('winmgmtwuauservVSSERSvcNetman');
DeleteService('WMPNetworkSvcRasManUPSWudfSvcupnphost');
DeleteService('wscsvcNtLmSsp');
DeleteService('wscsvcNtLmSspNBService');
DeleteService('WudfSvcAVP');
DeleteService('WudfSvcAVPNtmsSvc');
DeleteService('WudfSvcAVPNtmsSvcMessengerCOMSysApp');
DeleteService('WudfSvcDnscache');
DeleteService('WudfSvcupnphost');
DeleteService('WudfSvcupnphostSSDPSRV');
DeleteService('WZCSVCSpooler');
DeleteService('WZCSVCSpoolerseclogon');
DeleteService('Winej72');
QuarantineFile('srv.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winej72.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingl04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingl05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmr51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winns04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winns48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpu72.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqv15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsx04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winua50.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winye83.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winej72.sys','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('F:\autorun.inf','');
DeleteFile('F:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\Drivers\Winej72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winua50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpu72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winns48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winns04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmr51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingl05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingl04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej72.sys');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winye83');
BC_DeleteSvc('Winua50');
BC_DeleteSvc('Winsx04');
BC_DeleteSvc('Winqv15');
BC_DeleteSvc('Winpu72');
BC_DeleteSvc('Winns48');
BC_DeleteSvc('Winns04');
BC_DeleteSvc('Winmr51');
BC_DeleteSvc('Wingl05');
BC_DeleteSvc('Wingl04');
BC_DeleteSvc('AppMgmtSpooler');
BC_DeleteSvc('CiSvcdmadmin');
BC_DeleteSvc('COMSysAppALG');
BC_DeleteSvc('CryptSvcSharedAccess');
BC_DeleteSvc('CryptSvcSharedAccessPmlWmdmPmSN');
BC_DeleteSvc('CryptSvcSharedAccesswinmgmtwuauservVSSERSvcNetman');
BC_DeleteSvc('DhcpClipSrv');
BC_DeleteSvc('DhcpSCardSvrDhcpClipSrv');
BC_DeleteSvc('dmserverShellHWDetection');
BC_DeleteSvc('DnscacheWMPNetworkSvcRasManUPSWudfSvcupnphost');
BC_DeleteSvc('ERSvcMessenger');
BC_DeleteSvc('ERSvcMessengerCOMSysApp');
BC_DeleteSvc('ERSvcNBService');
BC_DeleteSvc('FastUserSwitchingCompatibilitySpooler');
BC_DeleteSvc('FLEXnetNetlogon');
BC_DeleteSvc('helpsvcRasManUPSSharedAccess');
BC_DeleteSvc('ImapiService Driver HPZ12');
BC_DeleteSvc('LmHostsNetDDEdmadmin');
BC_DeleteSvc('MessengerCOMSysApp');
BC_DeleteSvc('MicrosoftRasManUPS');
BC_DeleteSvc('NBServiceNetDDE');
BC_DeleteSvc('NetDDEdmadmin');
BC_DeleteSvc('NetDDEdsdm Service');
BC_DeleteSvc('NetDDEdsdmMicrosoftRasManUPS');
BC_DeleteSvc('NtLmSspWudfSvcDnscache');
BC_DeleteSvc('oseSCardSvr');
BC_DeleteSvc('PlugPlay Driver HPZ12');
BC_DeleteSvc('PlugPlayPlugPlay');
BC_DeleteSvc('PlugPlayPlugPlayWmiApSrv');
BC_DeleteSvc('PlugPlayVSS');
BC_DeleteSvc('PmlCryptSvc');
BC_DeleteSvc('PmlEventlog');
BC_DeleteSvc('PmlWmdmPmSN');
BC_DeleteSvc('PmlWudfSvcAVPNtmsSvcMessengerCOMSysApp');
BC_DeleteSvc('RasManNetDDEdmadmin');
BC_DeleteSvc('RasManUPS');
BC_DeleteSvc('RasManUPSSharedAccess');
BC_DeleteSvc('RasManUPSWudfSvcupnphost');
BC_DeleteSvc('RemoteAccessClipSrv');
BC_DeleteSvc('RemoteAccessClipSrvWMPNetworkSvc');
BC_DeleteSvc('RemoteAccessCryptSvcSharedAccessPmlWmdmPmSN');
BC_DeleteSvc('SCardSvrDhcpClipSrv');
BC_DeleteSvc('SCardSvrDhcpClipSrvEventlog');
BC_DeleteSvc('SCardSvrERSvcMessengerCOMSysApp');
BC_DeleteSvc('seclogonPolicyAgent');
BC_DeleteSvc('SpoolerAppMgmtSpooler');
BC_DeleteSvc('srservicePlugPlayPlugPlay');
BC_DeleteSvc('SSDPSRVFastUserSwitchingCompatibility');
BC_DeleteSvc('SSDPSRVSCardSvr');
BC_DeleteSvc('stisvcRasManUPS');
BC_DeleteSvc('ThemesDhcpClipSrv');
BC_DeleteSvc('ThemesDhcpClipSrvwscsvcNtLmSspNBService');
BC_DeleteSvc('VSSERSvc');
BC_DeleteSvc('VSSERSvcNetman');
BC_DeleteSvc('VSSERSvcNetmandmadmin');
BC_DeleteSvc('VSSSwPrv');
BC_DeleteSvc('winmgmtwuauserv');
BC_DeleteSvc('winmgmtwuauservVSSERSvcNetman');
BC_DeleteSvc('WMPNetworkSvcRasManUPSWudfSvcupnphost');
BC_DeleteSvc('wscsvcNtLmSsp');
BC_DeleteSvc('wscsvcNtLmSspNBService');
BC_DeleteSvc('WudfSvcAVP');
BC_DeleteSvc('WudfSvcAVPNtmsSvc');
BC_DeleteSvc('WudfSvcAVPNtmsSvcMessengerCOMSysApp');
BC_DeleteSvc('WudfSvcDnscache');
BC_DeleteSvc('WudfSvcupnphost');
BC_DeleteSvc('WudfSvcupnphostSSDPSRV');
BC_DeleteSvc('WZCSVCSpooler');
BC_DeleteSvc('WZCSVCSpoolerseclogon');
BC_DeleteSvc('Winej72');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
Последний раз редактировалось Rene-gad; 31.07.2008 в 16:16 .
Важно:
Переименуйте файл IceSword.exe в game.exe, иначе он у Вас не запустится, у Вас куча отлачиков, в том числе для IceSword, их потом удалим.
Junior Member
Вес репутации
58
Сообщение от
kps
Важно:
Переименуйте файл IceSword.exe в game.exe, иначе он у Вас не запустится, у Вас куча отлачиков, в том числе для IceSword, их потом удалим.
спасибо сделал)
Перед выполнением скрипта выдает: Ошбика ';' expected в позиции 118:5
Последний раз редактировалось Rene-gad; 31.07.2008 в 16:18 .
Причина: удалена fullquote
Сообщение от
censored
спасибо сделал)
давайте без флуда. Логи - в студию, в сообщении можете отблагодарить - лучше надавить на кнопку Спасибо
Junior Member
Вес репутации
58
Сообщение от
Rene-gad
давайте без флуда. Логи - в студию, в сообщении можете отблагодарить - лучше надавить на кнопку Спасибо
Простите, но вы там недочитали) выполнить скрипт так и не удалось
Junior Member
Вес репутации
58
Сообщение от
Rene-gad
Вы позже дополнили, чем я ответил
Скрипт подправил, выполняйте, плиз
аа ясн) все сделал, только не понял одного что закачать то по красной кнопке??
Вложения
Сообщение от
censored
аа ясн) все сделал, только не понял одного что закачать то по красной кнопке??
карантин - сюдой: http://virusinfo.info/upload_virus.php?tid=27336
Junior Member
Вес репутации
58
Сообщение от
Rene-gad
закачал)
IceSword , поищите и удалите через опцию force delete файл:
Код:
C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winxd48.sys
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winxd48');
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\ytbikec.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dl_','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winxd48.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Winxd48.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\ytbikec.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteService('Winxd48');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
58
Вложения
IceSword , поищите и удалите через опцию force delete файл:
Код:
C:\WINDOWS\system32\Drivers\Winxd48.sys
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
Код:
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('CiSvcWmdmPmSN');
DeleteService('RemoteAccessImapiService');
DeleteService('Winxd48');
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\ytbikec.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxd48.sys','');
QuarantineFile('srv.exe','');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxd48.sys');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\ytbikec.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winxd48.sys');
BC_DeleteFile('C:\Program Files\Common Files\Microsoft Shared\ytbikec.exe');
BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_');
BC_DeleteSvc('CiSvcWmdmPmSN');
BC_DeleteSvc('RemoteAccessImapiService');
BC_DeleteSvc('Winxd48');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.[/QUOTE]
Еще выполните такой скрипт:
Код:
begin
ExecuteRepair(9);
RebootWindows(true);
end.
Это удалит все отладчики из реестра, после чего можете запускать IceSword под его обычным именем.
Junior Member
Вес репутации
58
Вложения
Скрипт от kps выполнили?
Вроде убили гада.
Файлик этот
C:\Program Files\Common Files\Microsoft Shared\ytbikec.exe
плиз поищите и закачайте по правилам (приложения 2 и 3).
Систему обновите до СП3 и ИЕ 7 поставьте.
Junior Member
Вес репутации
58
Сообщение от
Rene-gad
Скрипт от kps выполнили?
Вроде убили гада.
Файлик этот
плиз поищите и закачайте по правилам (приложения 2 и 3).
Систему обновите до СП3 и ИЕ 7 поставьте.
Спасибо большое) файлик не находит) а если систему до сп3 обновлю данные потеряются? я пользуюсь оперой, обязателен ие 7? Что из антивируса и фаирвола можете посоветовать?) заранее благодарю
А визуально этот файлик попробуйте найти,запаковать с паролем "virus" и прислать по ссылке,данные не потеряются...
Антивирусы здесь http://virusinfo.info/forumdisplay.php?f=39
Стенки здесь http://virusinfo.info/forumdisplay.php?f=40
Сообщение от
censored
а если систему до сп3 обновлю данные потеряются?
Почему они должны потеряться? Вы только при установке все резидентные программы выгрузите а все остальные - закройте.
Зловреды об этом не энают и испольэуют слабые места непатченного ИЕ (он, как Вам известно - часть операционной системы).
Что из антивируса и фаирвола можете посоветовать?) заранее благодарю
Из файрволов - ничего -сам не пользуюсь и другим не советую. Интересно, конечно наблюдать - куда/откуда это собсно трафик течет, а как средство защиты оно не годится. Для успокоения психики достаточно Виндовс-Файрвол включить.
Насчет антивируса - надо качать и пробовать, какой систему грузить не будет. Для ориентировки: www.av-comparatives.org
Последний раз редактировалось Rene-gad; 01.08.2008 в 10:48 .
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 13 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\winctrl32.dl_ - Trojan-Downloader.Win32.Mutant.atb (DrWEB: BackDoor.Bulknet.225) c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.atb (DrWEB: BackDoor.Bulknet.225) d:\\autorun.inf - Worm.Win32.AutoRun.lkr f:\\autorun.inf - Worm.Win32.AutoRun.lkr