Пожалуйста помогите! Очень сильно жрет трафик! Антивирус NOD 32, 3.0.566.0. При включении комппа все время находит трояна в папке
C:\WINDOWS\system32\drivers\Bjp85.sys
C:\WINDOWS\system32\drivers\Gpv63.sys
Спасибо!
Printable View
Пожалуйста помогите! Очень сильно жрет трафик! Антивирус NOD 32, 3.0.566.0. При включении комппа все время находит трояна в папке
C:\WINDOWS\system32\drivers\Bjp85.sys
C:\WINDOWS\system32\drivers\Gpv63.sys
Спасибо!
Обязательно отключите восстановление системы, как написано в правилах!
Потом [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('BsMonSvr','');
QuarantineFile('C:\WINDOWS\system32\AviInfoShell.dll','');
QuarantineFile('msiconf.exe','');
QuarantineFile('autorun.bat','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tci52.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lsy63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jqw17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\iqW53.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Iqw52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gpv63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ckq28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ckq06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bjp85.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\pfc027.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('c:\windows\system32\pastisvc.exe','');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bjp85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ckq06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ckq28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gpv63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Iqw52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\iqW53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jqw17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lsy63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tci52.sys');
DeleteFile('C:\WINDOWS\system32\msiconf.exe');
DelWinlogonNotifyByKeyName('WinNt32');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Tci52');
BC_DeleteSvc('Gpv63');
BC_DeleteSvc('Ckq28');
BC_DeleteSvc('Ckq06');
BC_DeleteSvc('Bjp85');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Lsy63');
BC_DeleteSvc('Jqw17');
BC_DeleteSvc('iqW53');
BC_DeleteSvc('Iqw52');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=24205[/url] ).
Очистите карантин DrWeb, временные папки и кеш браузера.
Сделайте новые логи.
Все сделал!!!8)
Я так понимаю, что все выличилось!!! Большое вам спасибо!!!!!
[QUOTE=Lstrips;237971]Я так понимаю, что все выличилось!!! [/QUOTE]Далеко не все вылечилось
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O4 - HKCU\..\Run: [msiconf.exe] msiconf.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Cjp28');
QuarantineFile('msiconf.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Cjp28.sys','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('autorun.bat','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winho41.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Winho41.sys');
DeleteFile('autorun.bat');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Cjp28.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('msiconf.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки закачайте карантин по красной ссылке вверху темы, повторите 3 лога.
Все сделал!
Скачайте [url=http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip]IceSword[/url].
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Winho41.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\Winho41.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winho41.sys');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] и скопированный Вами в IceSword файл в архиве с паролем virus (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=24205[/url] ). .
Сделайте новые логи.
Вот блин словил на свою голову.:(
Главный руткит удален, почистим мусор в реестре:
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
DelWinlogonNotifyByKeyName('WinCtrl32');
DeleteFile('C:\WINDOWS\System32\Drivers\Winho41.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winho41');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи.
По поводу Вашего карантина подождем ответа вирлаба...
Все сделано. Теперь я думаю что все?:>
Ответ по поводу Вашего карантина пришел, теперь подозрения с некоторых файлов сняты.
В логах кристально чисто.
Какие-то проблемы остались?
Трафик так быстро как раньше не уходит, можно сказать что стоит на месте. Более точно могу сказать через какое-то время. Больше никаких проблем не вижу. Огромное вам спасибо. Если бы не вы пришлось бы сносить систему. СПАСИБО!!!!
Нам интересно [url=http://virusinfo.info/showthread.php?t=19883]Ваше мнение[/url] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную [url=http://security-advisory.virusinfo.info/]книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Было:
Trojan-Dropper.Win32.Agent.shb
WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.ado
Rootkit.Win32.Podnuha.y
Trojan-Downloader.Win32.Mutant.yq
Trojan-Downloader.Win32.Mutant.acm
Trojan-Downloader.Win32.Mutant.adh