Junior Member
Вес репутации
58
Некорректная работа, загружен входящий трафик, и еще много всего
Всем доброго дня!
Проблема в следующем, на ноутбуке происходят непонятные явления, после серфинга по инету, в один момент система написала что якобы инфицированна и нужно ей что-то скачать из интернета... Изменился фон рабочего экрана. Доступ к свойствам экрана, и в диспетчер задач закрыт. Ноутбук подключен к инету через локальную сеть, постоянно загружен входящий трафик, что качает непонятно... ноут от сетки выключаю и трафика нету... Буду очень рад советам!
Файлы прилагаю
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
ConnectionServices - деинсталировать ...
скачайте C:\WINDOWS\System32\Drivers\Kry20.sys - force delete
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('wowfx.dll','');
QuarantineFile('C:\WINDOWS\system32\admparseb.exe','');
QuarantineFile('C:\WINDOWS\vlc.exe','');
QuarantineFile('C:\WINDOWS\svzip.exe','');
QuarantineFile('C:\WINDOWS\svx.exe','');
QuarantineFile('C:\WINDOWS\svw.exe','');
QuarantineFile('C:\WINDOWS\svhoster.exe','');
QuarantineFile('C:\WINDOWS\svc.exe','');
QuarantineFile('C:\WINDOWS\sv.exe','');
QuarantineFile('C:\WINDOWS\runsql.exe','');
QuarantineFile('C:\WINDOWS\neos.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\wndutl32.dll','');
DeleteService('Kry20');
QuarantineFile('C:\WINDOWS\system32\Drivers\Kry20.sys','');
TerminateProcessByName('c:\windows\winlogon.exe');
QuarantineFile('c:\windows\winlogon.exe','');
DeleteFile('c:\windows\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Kry20.sys');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\wndutl32.dll');
DeleteFile('C:\WINDOWS\neos.exe');
DeleteFile('C:\WINDOWS\runsql.exe');
DeleteFile('C:\WINDOWS\sv.exe');
DeleteFile('C:\WINDOWS\svc.exe');
DeleteFile('C:\WINDOWS\svhoster.exe');
DeleteFile('C:\WINDOWS\svw.exe');
DeleteFile('C:\WINDOWS\svx.exe');
DeleteFile('C:\WINDOWS\svzip.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\vlc.exe');
DeleteFile('C:\WINDOWS\system32\admparseb.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('wowfx.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
58
Все сделал, карантин загружен, логи прикрепил.
Насчет C:\WINDOWS\System32\Drivers\Kry20.sys не понял что нужно сделать....
Вложения
Скачайте IceSword. Запустите, слева внизу нажмите File, затем найдите:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Kry20.sys
и сделайте им Force Delete.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Kry20');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Kry20.sys');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportDeletedList;
ExecuteSysClean;
DeleteService('Kry20');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
58
Все сделал. Восстановление системы было отключено, проверил еще раз... Антивирус выгрузить полностью не удается, видимая часть выгружается, а процесс ekrn.exe, запущенный из под SYSTEM после выгрузки сам загружается снова...
Логи прилагаю.
Вложения
пофиксите
Код:
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
O22 - SharedTaskScheduler: IPC Configuration Utility - IPC Configuration Utility - (no file)
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{3EDBF8E9-3130-72C8-ED30-32A3DB08ED44}');
BC_DeleteSvc('Kry20');
DeleteFile('C:\WINDOWS\System32\Drivers\Kry20.sys');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\WINDOWS\wdmon.exe');
DeleteFile('C:\Program Files\altcmd\altcmd32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ....
Последний раз редактировалось V_Bond; 01.09.2008 в 09:32 .
Junior Member
Вес репутации
58
все сделал, и пофиксил и скрипт :-) логи прилагаю
Вложения
в логах ничего плохого ...
Junior Member
Вес репутации
58
Спасибо большое! Проблемы исчезли, причем все!
neos.exe_ - Email-Worm.Win32.Zhelatin.agg,
WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.bj
+ новые
runsql.exe_ - Trojan-Clicker.Win32.Delf.atx,
sv.exe_ - Trojan-Downloader.Win32.Osewlone.a,
svhoster.exe_ - Trojan-Downloader.Win32.Osewlone.b,
svw.exe_ - Trojan-Downloader.Win32.Osewlone.c,
svzip.exe_ - Trojan-Downloader.Win32.Osewlone.d,
vlc.exe_ - Trojan-Clicker.Win32.Delf.aty,
winlogon.exe_ - Trojan-Clicker.Win32.Delf.atw
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 12 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\neos.exe - Email-Worm.Win32.Zhelatin.agg (DrWEB: Trojan.Packed.607) c:\\windows\\runsql.exe - Trojan-Clicker.Win32.Delf.atx (DrWEB: Trojan.Packed.612) c:\\windows\\svc.exe - Trojan-Clicker.Win32.Agent.cki (DrWEB: Trojan.Packed.612) c:\\windows\\sv.exe - Trojan-Clicker.Win32.Osewlone.a (DrWEB: Trojan.Packed.612) c:\\windows\\svhoster.exe - Trojan-Clicker.Win32.Osewlone.b (DrWEB: Trojan.Packed.612) c:\\windows\\svw.exe - Trojan-Clicker.Win32.Osewlone.c (DrWEB: Trojan.Packed.612) c:\\windows\\svx.exe - Trojan-Clicker.Win32.Agent.cko (DrWEB: Trojan.Packed.612) c:\\windows\\svzip.exe - Trojan-Clicker.Win32.Osewlone.d (DrWEB: Trojan.Packed.612) c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.bj (DrWEB: Trojan.DownLoader.54123) c:\\windows\\vlc.exe - Trojan-Clicker.Win32.Delf.aty (DrWEB: Trojan.Packed.612) c:\\windows\\winlogon.exe - Trojan-Clicker.Win32.Delf.atw (DrWEB: Trojan.Packed.612)