Printable View
Дело в том, что я словил DownLoader agent, AVG показывало, что комп инфицирован, но с помощью одной утилиты я вроде как удалил этот вирь, AVG показывает, что вирусов нет, но всё равно идёт передача трафика, когда я даже не сижу в инете. Скажите, как от него избавиться?
[URL="http://virusinfo.info/showthread.php?t=1235"][IMG]http://img507.imageshack.us/img507/4371/140px2.png[/IMG][/URL]
Извините, сейчас добавлю
Вот логи -
1. Скачайте IceSword: [url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url]
2. Запустите, слева внизу нажмите File, затем найдите файлы:
C:\WINDOWS\system32\WinCtrl32.dll
и сделайте им [url=http://virusinfo.info/showthread.php?t=17228]Force Delete[/url].
3. [url=http://virusinfo.info/showthread.php?t=4491]Пофиксите в HijackThis:[/url]
[CODE]
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/CODE]
4. [url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ:[/url]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\kw.exe','');
QuarantineFile('C:\WINDOWS\system32\equi742.exe','');
QuarantineFile('logon.scr','');
QuarantineFile('c:\g21xrb.exe','');
QuarantineFile('sremcon.exe','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\Program Files\PoivY.com\PoivY\PoivY.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyh86.sys','');
DeleteService('Winyh86');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxf86.sys','');
DeleteService('Winxf86');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winox53.sys','');
DeleteService('Winox53');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjr07.sys','');
DeleteService('Winjr07');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingn20.sys','');
DeleteService('Wingn20');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('tcpsr');
StopService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qxf20.sys','');
DeleteService('Qxf20');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ovd31.sys','');
DeleteService('Ovd31');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gnu20.sys','');
DeleteService('Gnu20');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
QuarantineFile('C:\WINDOWS\system32\adsndsv.dll','');
DeleteFile('C:\WINDOWS\system32\adsndsv.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Gnu20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ovd31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qxf20.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingn20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjr07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winox53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxf86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyh86.sys');
DeleteFile('C:\WINDOWS\System32\WinCtrl32.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\kw.exe');
DeleteFile('C:\WINDOWS\system32\equi742.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=25738[/url]
________________
После всего этого сделайте логи снова.
Сделать Force Delete через программу IceSword не удалось, файл WinCtrl32.dll не был найден
Пофиксить в HiJachThis так же не удалось, т.к. директория тоже не была обнаружена.
Выполнил скрипт в AVZ, карантин прислал.
Логи сделанные снова -
[QUOTE=Eshenko;250110] Пофиксить в HiJachThis так же не удалось, т.к. директория тоже не была обнаружена.[/QUOTE]Какая директория? :O
[quote=Rene-gad;250114]Какая директория? :O[/quote]
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
вобщем не удалось пофиксить, т.к. после сканирования системы в HiJackThis этого не оказалось
[size="1"][color="#666686"][B][I]Добавлено через 38 минут[/I][/B][/color][/size]
Хотя мне кажется, проблема решена, трафик вроде больше не качается сам по себе. В любом случае спасибо
[QUOTE=Eshenko;250115]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
вобщем не удалось пофиксить, т.к. после сканирования системы в HiJackThis этого не оказалось[/QUOTE]
Ну и хорошо. AVZ сама зачистила, спасибо ей.
извините, но кажется , ситуация начала повторяться, вот логи -
помогите, пожалуйста, если можете
так же протестил в cFosSpeed -
[IMG]http://c.imagehost.org/0555/1_7.jpg[/IMG]
..не понятно, откуда бежит этот трафик, помогите плз
Отключите восстановление системы, как написано в правилах.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Installer\43a120.msi','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\MessengerStatsPAClient.dll','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\msgrchkr.dll','');
QuarantineFile('C:\WINDOWS\system32\nvappfilter.dll','');
QuarantineFile('logon.scr','');
QuarantineFile('c:\g21xrb.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\vidcap.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=25738[/url] ).
Когда отправите карантин - сообщите.
Карантин прислал
[size="1"][color="#666686"][B][I]Добавлено через 29 минут[/I][/B][/color][/size]
После того, как сделал скрипт и произошла перезагрузка, антивирус AVG нашел в компе следующий вирь - equi646.exe (Trojan Horse Downloader.Agent.AIEY), вроде бы его удалил, но потом я снова перезагрузил комп, поставил антивирус сканировать и снова этот же вирус был обнаружен(((
[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]
AVG обнаружил этот вирус в с:/Document and Settings/Local Sevises ... и вродебы снова вылечил, а сейчас AVZ опять обнаружил его, но уже в с:/System Volume Information ... он что, самопроизвольно гуляет по папкам ?
Восстановление системы на время лечения надо отключать.
[quote=pig;255400]Восстановление системы на время лечения надо отключать.[/quote]
Я итак его отключил, потом сделал скрипт, компьютер перезагрузился, я его снова включил
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
после того, как этот вирус снова был обнаружен в с:/System Volume Information, я опять отключил восстановление системы, чтоб папка System Volume Information почистилась. Трафик стал улетать меньше, но всётаки до сих пор иногда индикатор передачи информации мигает, когда я не активен в интернете. может быть ещё чтонибудь посоветуете ?
Я так понимаю, что ждём заключения по карантину.
Отключите восстановление системы, как написано в правилах.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SetAVZGuardStatus(True);
DeleteFile('c:\g21xrb.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Выполните пункт 2 правил (полная проверка CureIt!).
Спасибо, кажется, проблема решена.
Проблема начала повторяться((( Я заметил одну вещь - эта проблема появляется, как только я устанавливаю какие-нибудь программы, вещающие потоковое аудио или видео(Online TV, Online Radio, LastFM и т.п.), программу деинсталирую, но проблема остаётся, и так уже не первый раз, как вы тоже заметили((
Посмотрите, пожалуйста, логи -
[QUOTE=Eshenko;250058]всё равно идёт передача трафика, когда я даже не сижу в инете. [/QUOTE]А куда идет передача чего, если интернет [B]не подключен[/B]? Бредовый вопрос, извините, но во всем же должна быть логика :D
Вы же Битторрент установили. Так чему же Вы удивляетесь? Почитайте о принципе торрентного протокола: [url]http://ru.wikipedia.org/wiki/BitTorrent[/url]