Какой-то вирус или троян использует много трафика, нагружая процессор.
Printable View
Какой-то вирус или троян использует много трафика, нагружая процессор.
[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: (no name) - {D6F180CB-E683-41a3-8CD2-C53DBAA0530D} - (no file)
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: MSWin-55050225.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Daniyar\Templates\A.kotnorB.com','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winci04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg40.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\bhM83.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Nsx27.sys','');
QuarantineFile('C:\Temp\924t5eah.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WinNt64.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\spoolw.dll','');
QuarantineFile('C:\WINDOWS\system32\basegegiw32.dll','');
DeleteFile('C:\WINDOWS\system32\basegegiw32.dll');
DeleteFile('C:\WINDOWS\system32\spoolw.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\WinNt64.dll');
DeleteFile('C:\Temp\924t5eah.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Nsx27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\bhM83.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbg40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winci04.sys');
DeleteFile('C:\Documents and Settings\Daniyar\Templates\A.kotnorB.com');
DeleteFile('C:\WINDOWS\Tasks\At1.job');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('bhM83');
BC_DeleteSvc('Fkp51');
BC_DeleteSvc('Nty40');
BC_DeleteSvc('rhxxuool');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Uaf84');
BC_DeleteSvc('Vbg51');
BC_DeleteSvc('Wdi27');
BC_DeleteSvc('Winbg40');
BC_DeleteSvc('Winci04');
BC_DeleteSvc('Winek73');
BC_DeleteSvc('Nsx27');
BC_DeleteSvc('SENSlanmanworkstation');
BC_DeleteSvc('Lpo_lipdkxmlprov');
BC_DeleteSvc('Lpo_lipdk');
BC_DeleteSvc('ImapiServiceHidServ');
BC_DeleteSvc('Googleupnphost');
BC_DeleteSvc('Google Online Services');
BC_DeleteSvc('EventlogAudioSrv');
BC_DeleteSvc('Dnscacheaspnet_state');
BC_DeleteSvc('DcomLaunchaspnet_stateNtLmSsp');
BC_DeleteSvc('aspnet_stateNtLmSsp');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=25474[/url]).
Сделайте новые логи.
1. Когда можно будет заново включить восстановление системы?
2. Как обезопасить себя от дальнейшего вторжения ЭТИХ (что обнаружил AVZ) вирусов?
Новые логи.
Восстановление системы можно будет включить только после завершения лечения, а оно еще в самом разгаре.
Скачайте [url=http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip]IceSword[/url].
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Nsx27.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Потом [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Downloaded Program Files\rmxfvw4.dll','');
QuarantineFile('C:\WINDOWS\DOWNLO~1\vccfe.ocx','');
QuarantineFile('C:\WINDOWS\DOWNLO~1\hmvcfe.ocx','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winta73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrx38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windj16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbh16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ATE_PROCMON.sys','');
QuarantineFile('ATE_PROCMON.sys','');
QuarantineFile('srv.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Nsx27.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Nsx27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbh16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windj16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrx38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winta73.sys');
DeleteFile('C:\WINDOWS\System32\WinCtrl32.dll');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Nsx27');
BC_DeleteSvc('NetDDEdsdmThemes');
BC_DeleteSvc('ImapiServiceHidServShellHWDetection');
BC_DeleteSvc('EventlogAudioSrvDhcp');
BC_DeleteSvc('DhcpAudioSrv');
BC_DeleteSvc('Winta73');
BC_DeleteSvc('Winrx38');
BC_DeleteSvc('Windj16');
BC_DeleteSvc('Winbh16');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=25474[/url] ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Новые логи
Вам же дали ссылку, куда загружать архив с вашим трояном. Кстати, архив должен быть с паролем [i]virus[/i]. Уберите его из сообщения!
В логах все нормально, только осталось немножко мусора.
Пофиксите в HijackThis:
[code]
O9 - Extra button: (no name) - DctMapping - (no file)
[/code]
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('tcpsr');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
Удалить архив никак не получается - сообщение типа "Не имеете доступ к данной странице".
Новые логи
[quote=NeedHelpD;248322]Удалить архив никак не получается[/quote]
Попробуйте через "мой кабинет" - "Вложения"
В логах порядок.
Спасибо большое за помощь! Очень долго уже пытаюсь избавиться от этого трояна. Кстати, есть смысл одновременно использовать drweb и outpost?
Лишний архив удалил.
[QUOTE=NeedHelpD;248358]Кстати, есть смысл одновременно использовать drweb и outpost?[/QUOTE]Почему нет? Если они у Вас уживаются друг с другом и систему не груэят, то битте-плиз ;)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]55[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\basegegiw32.dll - [B]Trojan.Win32.SubSys.dj[/B][*] c:\\windows\\system32\\drivers\\bhm83.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B][*] c:\\windows\\system32\\drivers\\winbg40.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B][*] c:\\windows\\system32\\spoolw.dll - [B]Trojan-Mailfinder.Win32.Agent.lz[/B] (DrWEB: Trojan.EmailSpy.124)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.ail[/B] (DrWEB: Trojan.DownLoader.63553)[/LIST][/LIST]