Printable View
Собственно проблема в том, что утекает траффик и Нод (3.0.621 базы последние на сегодня) при каждой загрузке говорит что нашел зараженные файлы: tcpsr.sys (идентифицируется Нодом как Win32/Wigon BY.trojan и еще один с разными именами (идентифицируется как разновидность Win32/Wigon trojan) (варианты имен: Vad50.sys Taf40.sys Wdi05.sys Pvc05.sys). Что с этой дрянью делать...
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,
O1 - Hosts: 127.0.0.2 updates.drweb.com
O1 - Hosts: 127.0.0.2 kaspersky.ru
O2 - BHO: Std plugin - {FFFFFFFF-DAD2-4a4c-848D-2CBFC6F0FD21} - sac32.dll (file missing)
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\SYSTEM32\WinNt64.dll
O20 - Winlogon Notify: yvbb01 - yvbb01.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt64.dll','');
DeleteFile('C:\WINDOWS\system32\WinNt64.dll');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('yvbb02');
BC_DeleteSvc('yvbb01');
BC_DeleteSvc('Xej38');
BC_DeleteSvc('Xej27');
BC_DeleteSvc('Wej38');
BC_DeleteSvc('Wdi16');
BC_DeleteSvc('Wdi05');
BC_DeleteSvc('Vch51');
BC_DeleteSvc('Vad58');
BC_DeleteSvc('Ubg73');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Taf06');
BC_DeleteSvc('Sye38');
BC_DeleteSvc('Rxd40');
BC_DeleteSvc('Qwc05');
BC_DeleteSvc('Pvc05');
BC_DeleteSvc('Pvb84');
BC_DeleteSvc('Pvb62');
BC_DeleteSvc('Pvb28');
BC_DeleteSvc('Osv36');
BC_DeleteSvc('Msx62');
BC_DeleteSvc('Lrw73');
BC_DeleteSvc('Lrw38');
BC_DeleteSvc('Lrw16');
BC_DeleteSvc('Kqw27');
BC_DeleteSvc('Jpu73');
BC_DeleteSvc('Jpu27');
BC_DeleteSvc('Jpu05');
BC_DeleteSvc('Gmr40');
BC_DeleteSvc('Ekp05');
BC_DeleteSvc('Djp27');
BC_DeleteSvc('Dim37');
BC_DeleteSvc('Chn84');
BC_DeleteSvc('Bgl05');
BC_DeleteSvc('Aeh60');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=25298[/url]).
Обновите базы AVZ.
Сделайте новые логи.