Собственно поймал трояна который занимается рассылкой спама, из-за этого очень большой исходящий трафик, и невозможность работы в интернете.
Printable View
Собственно поймал трояна который занимается рассылкой спама, из-за этого очень большой исходящий трафик, и невозможность работы в интернете.
Скачайте [url=http://wise-wistful.ifolder.ru/6132475]IceSword[/url].
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы C:\WINDOWS\System32\Drivers\Jsw26.sys, C:\WINDOWS\System32\drivers\Xrc28.sys, C:\WINDOWS\System32\drivers\Rae72.sys, C:\WINDOWS\system32\WLCtrl32.dll.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\idaw64.exe','');
QuarantineFile('c:\windows\lsass.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\kavir.exe','');
QuarantineFile('C:\WINDOWS\system32\sam.exe.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
QuarantineFile('C:\DOCUME~1\0BC6~1\LOCALS~1\Temp\ASFWHide','');
QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe','');
QuarantineFile('C:\WINDOWS\TEMP\0.EXE','');
QuarantineFile('C:\DOCUME~1\0BC6~1\LOCALS~1\Temp\2\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\head2.exe','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\head2.exe');
DeleteFile('C:\WINDOWS\System32\drivers\Rae72.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Xrc28.sys');
DeleteFile('C:\DOCUME~1\0BC6~1\LOCALS~1\Temp\2\svchost.exe');
DeleteFile('C:\WINDOWS\TEMP\0.EXE');
DeleteFile('C:\WINDOWS\system32\mnmsrvc.exe');
DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jsw26.sys');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\sam.exe.exe');
DeleteFile('C:\WINDOWS\kavir.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temp:svchosm.exe:$DATA');
DeleteFile('c:\windows\lsass.exe');
DeleteFile('C:\WINDOWS\system32\idaw64.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Jsw26');
BC_DeleteSvc('Rae72');
BC_DeleteSvc('Xrc28');
BC_DeleteSvc('grande48');
BC_DeleteSvc('Google Online Services');
BC_DeleteSvc('mnmsrvc');
BC_DeleteSvc('PolicyAgent');
BC_DeleteSvc('FCI');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=21999[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\idaw64.exe,C:\WIND OWS\system32\deviceemulator.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: (no name) - {F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2} - c:\autoex.dll (file missing)
O2 - BHO: Gamburg provider - {FFFFFFFF-D71D-41e4-A699-F506DBD097F0} - msindc.dll (file missing) [/CODE]
Повторите логи.
Файла Jsw26.sys в системе обнаружено небыло.
строка F2 - REG:system.ini: <...> system32\ntos.exe, - отсутствовала.
Карантин выслал.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\networkservice\\local settings\\temp:svchosm.exe:$data - [B]Trojan.Win32.Inject.bcj[/B] (DrWEB: Trojan.Spambot.3154)[*] c:\\windows\\lsass.exe - [B]Trojan.Win32.Agent.iva[/B] (DrWEB: Trojan.DownLoader.57268)[*] c:\\windows\\system32\\head2.exe - [B]Trojan-Dropper.Win32.Agent.qry[/B] (DrWEB: Trojan.Virtumod.based.22)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.aug[/B] (DrWEB: Trojan.Proxy.2684)[*] c:\\windows\\system32\\svchost.exe:ext.exe:$data - [B]Trojan.Win32.Inject.bcj[/B] (DrWEB: Trojan.Spambot.3154)[/LIST][/LIST]