Приветствую, в компе моей сестры определённо засели трояны которые забивают интернет канал, помогите пожалуйста выпроводить.
Антивирусник их не видит.
Приветствую, в компе моей сестры определённо засели трояны которые забивают интернет канал, помогите пожалуйста выпроводить.
Антивирусник их не видит.
Закройте все программы, выгрузите антивирус, фаерволл
пофиксите В HijackThis:
Код:R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,\\?\globalroot\systemroot\system32\bCfH0Lo.exe,Обновите обязательно!Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Выполните в AVZ скрипт:
После выполнения скрипта компьютер сам перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\docume~1\yura\locals~1\temp\gtk37.tmp'); QuarantineFile('G:\pozuda/malena.exe',''); QuarantineFile('C:\Program Files\Get-Styles 2.0\updatebho.dll',''); QuarantineFile('\\?\globalroot\systemroot\system32\bCfH0Lo.exe',''); QuarantineFile('C:\WINDOWS\system32\snti386.dll',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\qtplugin.exe',''); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-7285498997-5152287128-165673849-1162\nissan.exe',''); QuarantineFile('C:\Documents and Settings\Yura\Главное меню\Программы\Автозагрузка\wwwzuc32.exe',''); QuarantineFile('C:\Documents and Settings\Yura\Главное меню\Программы\Автозагрузка\nettir32.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\vitra.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\WINDOWS\System32\msxsltsso.dll',''); QuarantineFile('c:\docume~1\yura\locals~1\temp\gtk37.tmp',''); DeleteFile('c:\docume~1\yura\locals~1\temp\gtk37.tmp'); DeleteFile('C:\WINDOWS\System32\msxsltsso.dll'); DeleteFile('C:\Documents and Settings\Yura\Главное меню\Программы\Автозагрузка\nettir32.exe'); DeleteFile('C:\Documents and Settings\Yura\Главное меню\Программы\Автозагрузка\wwwzuc32.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-7285498997-5152287128-165673849-1162\nissan.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','GootkitSSO'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\WINDOWS\system32\qtplugin.exe'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('\\?\globalroot\systemroot\system32\bCfH0Lo.exe'); DeleteFile('C:\WINDOWS\system32\bCfH0Lo.exe'); DeleteFile('G:\autorun.inf'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteRepair(16); BC_Activate; RebootWindows(true); end.
Выполните после перезагрузки такой скрипт:
В папке c АВЗ сохранится virus.zip.Код:begin CreateQurantineArchive(GetAVZDirectory+'virus.zip'); end.
Пришлите его по ссылке Прислать запрошенный карантин вверху темы.
Повторите логи.
Готово
Закройте все программы, выгрузите антивирус, фаерволл
Выполните в AVZ скрипт:
После выполнения скрипта компьютер сам перезагрузится.Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); DeleteFile(GetAVZDirectory+'virus.zip'); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\notepad.exe'); QuarantineFile('C:\Documents and Settings\Yura\Local Settings\Temporary Internet Files\Content.IE5\PSDT4DH4\protod[1].exe',''); QuarantineFile('C:\Documents and Settings\Yura\Local Settings\Temp\gtkD4.tmp',''); QuarantineFile('c:\windows\system32\notepad.exe',''); DeleteFileMask('C:\Documents and Settings\Yura\Local Settings\Temp','gtk*.tmp',false); DeleteFile('C:\Documents and Settings\Yura\Local Settings\Temporary Internet Files\Content.IE5\PSDT4DH4\protod[1].exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(11); BC_Activate; RebootWindows(true); end.
Выполните после перезагрузки такой скрипт:
В папке c АВЗ сохранится virus.zip.Код:begin CreateQurantineArchive(GetAVZDirectory+'virus.zip'); end.
Пришлите его по ссылке Прислать запрошенный карантин вверху темы.
Повторите логи.
Выполните процедуру, описанную в первом сообщении здесь:http://virusinfo.info/showthread.php?t=3519
Результат загрузки архива сообщите.
Сделал.
Результат загрузки:Выполните процедуру, описанную в первом сообщении здесь:http://virusinfo.info/showthread.php?t=3519
Результат загрузки архива сообщите.
Файл сохранён как 100621_111709_virusinfo_files_TANYA_4c1f11f55db05. zip
Размер файла 11641520
MD5 24d09483730cecc69dadfd9bff64ba65
Вот
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); ExecuteRepair(11); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
Готово
Благодарю
Добавлено через 10 минут
Скажите пожалуйста, а из за чго может выводиться такое сообщение при старте системы?
---------------------------
lmgrd.exe - Ошибка приложения
---------------------------
Инструкция по адресу "0x0012e85d" обратилась к памяти по адресу "0x00005d00". Память не может быть "written".
"ОК" -- завершение приложения
"Отмена" -- отладка приложения
Последний раз редактировалось Dim2; 28.06.2010 в 21:21. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 43
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\yura\главное меню\программы\автозагрузка\nettir32.exe - Packed.Win32.Krap.hm ( DrWEB: Trojan.Packed.20343 )
- c:\documents and settings\yura\главное меню\программы\автозагрузка\wwwzuc32.exe - Trojan-Proxy.Win32.Small.agy ( DrWEB: Trojan.Packed.20225, BitDefender: Trojan.Dropper.Bredolab.A, NOD32: Win32/TrojanDownloader.Bredolab.BE trojan, AVAST4: Win32:Small-NMF [Trj] )
- c:\recycler\s-1-5-21-7285498997-5152287128-165673849-1162\nissan.exe - Trojan.Win32.Inject.altn ( DrWEB: Trojan.Packed.688, BitDefender: Trojan.Generic.2833417, AVAST4: Win32:MalOb-AI [Cryp] )
- c:\windows\services.exe - Trojan.Win32.Siscos.ri ( DrWEB: Trojan.Siggen1.28266, BitDefender: Trojan.Generic.KD.9761, NOD32: Win32/Agent.AFTS trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\msxsltsso.dll - Trojan-Downloader.Win32.Agent.delf ( DrWEB: BackDoor.Gootkit.15, BitDefender: Rootkit.33447, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\qtplugin.exe - Packed.Win32.Krap.ar ( DrWEB: Trojan.PWS.Siggen.4377, BitDefender: Gen:Variant.Koobface.1 )
- c:\windows\system32\sdra64.exe - Packed.Win32.Krap.w ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.11, AVAST4: Win32:Malware-gen )
- \\?\globalroot\systemroot\system32\bcfh0lo.exe - Trojan.Win32.Scar.ciza ( DrWEB: Trojan.Packed.20385, BitDefender: Trojan.Generic.4156280, AVAST4: Win32:Rootkit-gen [Rtk] )
Уважаемый(ая) Dim2, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.