-
Junior Member
- Вес репутации
- 50
Лечил - но видимо не долечил
Обнаружил большой расход трафика на скачивание, хотя ничего и не качал (доходило до 500 КБ/сек).
Лечил CureIt-ом. Он нашел вот такую бяку "Trojan.Proxy.18268". В сети по этому трояну почти ничего не нашел. После лечения расход трафика прекратился, но. После появления вот этого:
траффик опять начинает расходоваться, правда, не в таких огромных размерах, но все же (10 КБ/сек). И главное идет беспрерывно.
Вот и сдается мне, что оно не долечилось. А вот что делать ... ?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 50
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\tbpanel.exe');
QuarantineFile('c:\windows\tbpanel.exe','');
DeleteService('lfjcpv');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
QuarantineFile('C:\WINDOWS\Rcajua.exe','');
QuarantineFile('C:\DOCUME~1\Yura\LOCALS~1\Temp\Rjd.exe','');
DeleteFile('C:\DOCUME~1\Yura\LOCALS~1\Temp\Rjd.exe');
DeleteFile('C:\WINDOWS\Rcajua.exe');
DeleteFile('C:\WINDOWS\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
DeleteFile('C:\WINDOWS\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job');
DeleteFile('C:\WINDOWS\system32\01.tmp');
BC_DeleteSvc('lfjcpv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Сделайте лог Гмер
-
-
Junior Member
- Вес репутации
- 50
Olejah, все сделал согласно Вашей директиве.
-
Лог Гмер получился неполным, кнопку Scan нажимали?
-
-
Junior Member
- Вес репутации
- 50
Лог Гмер получился неполным, кнопку Scan нажимали?
Не-а, не нажимал.
Ибо, этого и не нужно было делать. Он когда нашел эту гадость, то сам спросил - продолжить сканировать, аль нет. Я дал команду продолжить. Гмер чесно, но долго, досканировал до конца, однако, по моему разумению, больше ничего не нашел, т.к. небыло надписей красными чернилами. Далее я, согласно инструкции, той которая не знакомится, нажал кнопку "Save". Выскочил курсор в виде песочных часов и провисел так около 1,5 часа. Я перегрузил комп и проделал операцию еще раз. Результат оказался тот же. Я в третий раз перегрузил комп, но когда Гмер нашел заразу и спросил сканировать ли мне далее, я ответил "Нет". После чего нажал кнопку "Save", получил лог и выслал его Вам.
Olejah, каким образом мне действовать дальше?
-
- Сохраните текст ниже как 1.bat в ту же папку, где находится ro6j37v9.exe(GMER) и запустите этот батник(1.bat):
Код:
ro6j37v9.exe -del service pdjah
ro6j37v9.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- Сделайте новый лог Gmer причём постарайтесь полностью сделать
-
-
Junior Member
- Вес репутации
- 50
Сохраните текст ниже как 1.bat в ту же папку, где находится ro6j37v9.exe(GMER)
Ды, на рабочем столе он у меня находится!
Засунуть его в какую нибудь папку?
-
Запускайте с рабочего стола.
-
-
Junior Member
- Вес репутации
- 50
-
Теперь повторите логи АВЗ
-
-
Junior Member
- Вес репутации
- 50
-
Имелось ввиду логи, как в первом сообщении.
-
-
Junior Member
- Вес репутации
- 50
Исправил, как в первом сообщении.
-
Выполните скрипт в АВЗ в безопасном режиме -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\DOCUME~1\Yura\LOCALS~1\Temp\Rjd.exe');
DeleteFile('C:\WINDOWS\Rcajua.exe');
DeleteFile('C:\WINDOWS\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
DeleteFile('C:\WINDOWS\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
- Повторите лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 50
Выполните скрипт в АВЗ в безопасном режиме -
А как, именно?
-
-
-
Junior Member
- Вес репутации
- 50
Знаить так, первое:
инструкция по переводу компа в безопасный режим, ИМХО, не полная. У меня F8 не прокатило, а F5.
Второе:
АВЗ в безопасном режиме отказался работать с данным скриптом
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\DOCUME~1\Yura\LOCALS~1\Temp\Rjd.exe');
DeleteFile('C:\WINDOWS\Rcajua.exe');
DeleteFile('C:\WINDOWS\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
DeleteFile('C:\WINDOWS\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Вернее работать он начал - но секунд через 20-30 все закрылось, комп сам перегрузился и перешел в нормальный режим. Вторая попытка запустить АВЗ в безопасном режиме, дала тот же результат.
Край.
-
Сообщение от
drexster
Вернее работать он начал - но секунд через 20-30 все закрылось, комп сам перегрузился и перешел в нормальный режим.
Ну а новый лог Вы нам сделаете?
-