Junior Member
Вес репутации
50
Проблемы с интернетом. Подозрения на трояны.
Здравствуйте. Суть такова: при включении интернета пакеты начинают отправляться с бешеной скоростью, принимается мизерное кол-во. Браузер просто пустой. Запускаю антиауторан, удаляю все раны, иногда помогает. Загрузка страниц очень медленная. Проверил свою систему согласно правилам. Может вы мне сможете помочь. Логи предоставлены.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
50
Это не шутка же. Трояны атакуют. Невозможно пользоваться интернетом!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Владимир Горячев.XYNTA-0838D60C2\Application Data\ozzfhv.exe','');
DeleteFile('C:\Documents and Settings\Владимир Горячев.XYNTA-0838D60C2\Application Data\ozzfhv.exe');
QuarantineFile('C:\DOCUME~1\4123~1.XYN\LOCALS~1\Temp\MSFW.exe','');
QuarantineFile('C:\WINDOWS\system32\svhost.exe','');
QuarantineFile('C:\WINDOWS\$NtServicePackUninstall$\inetres.dll','');
QuarantineFile('C:\Documents and Settings\Владимир Горячев.XYNTA-0838D60C2\efxdzjs3.exe','');
QuarantineFile('C:\Documents and Settings\Владимир Горячев.XYNTA-0838D60C2\c3i1o53s3.exe','');
DeleteFile('C:\Documents and Settings\Владимир Горячев.XYNTA-0838D60C2\c3i1o53s3.exe');
DeleteFile('C:\Documents and Settings\Владимир Горячев.XYNTA-0838D60C2\efxdzjs3.exe');
DeleteFile('C:\WINDOWS\system32\svhost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunServices','Supports RAS Connections');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Supports RAS Connections');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','Supports RAS Connections');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Supports RAS Connections');
DeleteFile('C:\DOCUME~1\4123~1.XYN\LOCALS~1\Temp\MSFW.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Firewall 2.9');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Firewall 2.9');
DeleteFileMask('C:\Documents and Settings\Владимир Горячев.XYNTA-0838D60C2\Local Settings\Temp','*.*',false);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
Junior Member
Вес репутации
50
Повторить логи которые в правилах? То есть начальную стадию?
Сделайте новые логи по правилам после выполнения скрипта
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
50
Извините, были проблемы с интернетом! Карантин выслал. Сейчас логи сделаю.
Junior Member
Вес репутации
50
Junior Member
Вес репутации
50
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\GameMon.des','');
QuarantineFile('C:\DOCUME~1\4123~1.XYN\LOCALS~1\Temp\iexplorer.exe','');
DeleteFile('C:\DOCUME~1\4123~1.XYN\LOCALS~1\Temp\iexplorer.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft iexplorer8.2');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft iexplorer8.2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Логи повторить
Junior Member
Вес репутации
50
Карантин выслал. Сейчас предоставлю логи.
Junior Member
Вес репутации
50
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Владимир Горячев\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
После перезагрузки:
- Сделайте лог MBAM
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 22 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\владимир горячев.xynta-0838d60c2\\c3i1o53s3.exe - Trojan.Win32.VB.aknl ( DrWEB: BackDoor.IRC.Bot.592, BitDefender: Trojan.Generic.4798908, AVAST4: Win32:AutoRun-BPN [Wrm] ) c:\\documents and settings\\владимир горячев.xynta-0838d60c2\\efxdzjs3.exe - Trojan.Win32.VB.aknl ( DrWEB: BackDoor.IRC.Bot.592, BitDefender: Trojan.Generic.4798908, AVAST4: Win32:AutoRun-BPN [Wrm] ) c:\\docume~1\\4123~1.xyn\\locals~1\\temp\\msfw.exe - Trojan.Win32.VB.aknn ( DrWEB: Trojan.MulDrop1.43260, BitDefender: Trojan.Generic.4923101, AVAST4: Win32:Malware-gen ) c:\\windows\\system32\\svhost.exe - Trojan.Win32.VB.aknm ( DrWEB: Win32.HLLW.SpyBot.314, BitDefender: Gen:Trojan.Heur.ZGY.5, AVAST4: Win32:Malware-gen )