Printable View
[SIZE=2][COLOR=#080000]Здравствуйте! помогите пожалуйста. Завелась какая-то гадость, по видимому, висит на интернет канале. Я использую GPRS. Как только подключаюсь, инет сильно начинает тормозить, далее полностью зависает. Подозрение у меня вызвал процесс calling.com. Сейчас его обрезал, инет, кажется, пока работает. Помогите пожалуйста.Что еще вредного у меня в системе / чувствую, это не единственная проблема) / ?
[/COLOR][/SIZE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Fhn85', 4);
SetServiceStart('Dkq17', 4);
SetServiceStart('Bhm85', 4);
QuarantineFile('I:\autorun.inf','');
QuarantineFile('E:\Setup.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\system.exe','');
QuarantineFile('C:\WINDOWS\system32\drive\calling.com','');
QuarantineFile('C:\Documents and Settings\loise\winmain.exe','');
QuarantineFile('C:\DOCUME~1\loise\LOCALS~1\Temp\Rar$EX00.297\vfd.sys','');
QuarantineFile('C:\Program Files\Winamp\winampa.exe','');
QuarantineFile('C:\Program Files\Last.fm\QtGui4.dll','');
QuarantineFile('C:\Program Files\Last.fm\breakpad.dll','');
DeleteFile('C:\WINDOWS\System32\Drivers\Bhm85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Dkq17.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Fhn85.sys');
DeleteFile('C:\Documents and Settings\loise\winmain.exe');
DeleteFile('C:\WINDOWS\system32\drivers\system.exe');
DeleteFile('C:\Documents and Settings\loise\DoctorWeb\Quarantine\fuwarxyus.dll');
DeleteFile('I:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteService('Fhn85');
DeleteService('Dkq17');
DeleteService('Bhm85');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
Обновите базы AVZ и повторите логи.
Спасибо за ответ!
Карантин получился около 3-x мегов(( Все равно присылать?
Все, прислал.. Вот логи
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('I:\autorun.inf','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe','');
QuarantineFile('C:\WINDOWS\system32\drive\systemac.dll','');
QuarantineFile('E:\Setup.exe','');
QuarantineFile('c:\windows\system32\drive\calling.com','');
DeleteFile('C:\WINDOWS\system32\drive\systemac.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('I:\autorun.inf');
DeleteFile('I:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\WINDOWS\system32\drive\calling.com');
DelCLSID('08B0E5C0-4FCB-11CF-AAX5-90401C608512');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=26110[/url]
Повторите логи.
Все, готово. и проблем, кажется, больше нет..
Чисто,жалобы есть?
Все нормально. супер! )
Спасибо всем за помощь!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]28[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drive\\calling.com - [B]Backdoor.Win32.IRCBot.dsh[/B] (DrWEB: Program.mIRC.603)[*] i:\\autorun.inf - [B]Worm.Win32.AutoRun.dui[/B] (DrWEB: Win32.HLLW.Autoruner)[*] i:\\recycler\\s-1-5-21-1482476501-1644491937-682003330-1013\\ise32.exe - [B]Trojan-DDoS.Win32.Agent.bv[/B] (DrWEB: Trojan.Packed.469)[/LIST][/LIST]