Каждые 2-5 минут звук как при ошибке (самой ошибке нет) Так же улетает траффик
Каждые 2-5 минут звук как при ошибке (самой ошибке нет) Так же улетает траффик
-Пофиксите
Повторите логи по п. 2 и 3 Диагностики.Код:F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\System\Sony_Software_PreLoad.exe"
еще заметил 2 новых svchost.exe в процесах и iexplorer.exe от SYSTEM. Так же тормозит браузер, а иногда даже не открывает страницу
новые логи прилагаю
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в папке ..avz\quarantine\ .Потом удалите их с помощью force deleteКод:C:\WINDOWS\system32\Drivers\ati5eixx.sys
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\ati5eixx.sys',''); QuarantineFile('C:\Program Files\Common Files\System\ppp lr30.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Adobe Office PreLoad.exe',''); DeleteService('tcpsr'); DeleteService('ati5eixx'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\ati5eixx.sys'); DeleteFile('C:\Program Files\Common Files\System\ppp lr30.dll'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Adobe Office PreLoad.exe'); DelBHO('{81948351-1431-00E5-5467-99ca3230262a}'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('tcpsr'); BC_DeleteSvc('ati5eixx'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
карантин отправил (в архив с карантином добавил файл ati5eixx.sys (название atixxx))
логи прилагаю
з.ы. трафик все равно куда-то уходит
Когда Вы планируете обновить базы АВЗ - к Новому Году или уже ближе к Пасхе???
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('tcpsr'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Cpl32ver.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('tcpsr'); BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи по правилам.
- Прикрепите логи к новому сообщению.
скрипт выполнил, логи прилагаю. Подключился к интернету - сразу же нвоый процесс iexplorer.exe от SYSTEM. Интернет отключил, этот процесс на 50% загрузил компьютер и около 200мб памяти скушал
p.s. базы обновил )
скачайте C:\WINDOWS\System32\Drivers\ati1gdxx.sys - force delete
выполните скрипт
пришлите карантин согласно приложения 2 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\ati1gdxx.sys',''); DeleteService('ati1gdxx'); QuarantineFile('C:\WINDOWS\system32\Drivers\ati1gdxx.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\ati1gdxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1gdxx.sys'); DeleteFile('C:\System Volume Information\_restore{8BEE8374-6B58-48F5-864C-3DF6CFC73361}\RP17\A0011272.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Карантин отправил, логи прилагаю. Вроде бы процессов подозрительных нет, но траффик по-моему куда все равно уходит
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('ati1gdxx'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1gdxx.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('ati1gdxx'); BC_Activate; ExecuteRepair(6 ); ExecuteRepair(17 ); RebootWindows(true); end.
скрипт выполнил, логи прилагаю
В логах чисто,жалобы есть?
жалобы те же - трафик уходит. Потом вообще не открылся Интернет Експлорер. сделал еще раз логи и просто был удивлен. Логи прилагаю
пофиксите
как вы определили что уходит трафик ?Код:O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
при включение интернета сразу же происходит активность. буквально каждую секунду принимается 1-5кб. Отключены все программы, автоматическое обновление, аська и т.д.
какая программа показывает активность ?
Состояние интернета.
поставте фаервол тот же comodo ... тогда будет предметный разговор
"подключение " показывает не килобайты а пакеты , почувствуйте разницу ...
пакеты должны ходить даже если ничего не качается - это нормально .....
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 24
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\adobe office preload.exe - Trojan.Win32.Agent.aeut
- c:\\program files\\common files\\system\\ppp lr30.dll - Trojan.Win32.Agent.aeuu (DrWEB: Trojan.GhostSpy.87)
- c:\\system volume information\\_restore{8bee8374-6b58-48f5-864c-3df6cfc73361}\\rp17\\a0011272.exe - Trojan.Win32.Agent.aecq (DrWEB: BackDoor.Bulknet.239)
- \\2008-09-25\\atixxx - Rootkit.Win32.Protector.as (DrWEB: BackDoor.Bulknet.240)
Уважаемый(ая) IceK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.