Троян пытаеться отослать инфу файрволл пишет SVCHOST.exe пытается отсылать на IP 216.195.61.61 Помогите плиз.
Printable View
Троян пытаеться отослать инфу файрволл пишет SVCHOST.exe пытается отсылать на IP 216.195.61.61 Помогите плиз.
Скачайте [url=http://wise-wistful.ifolder.ru/6132475]IceSword[/url].
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Ant85.sys.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Ant85.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportAll;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Ant85');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=26200[/url]
Повторите логи.
Ничего не помогло вообще только Winlogon еще долбиться начал.
Наверное, что-то сделали не так - Ant85.sys живее всех живых.
1. Отключаем интернет, НОД и Аутпост.
2. Удаляем Ant85.sys IceSword'ом (Force Delete).
3. Сразу же, не перезагружаясь, выполняем вышеуказанный скрипт в AVZ.
Еще не было случая, чтобы не помогло.
Помогите на компьетере опять тоже самое но предыдущий способ лечения результатов не дает. Пожалуйста помогите
Файлы не удаеться прикрепить
[url]http://ifolder.ru/7467915[/url]
[url]http://ifolder.ru/7467931[/url]
[url]http://ifolder.ru/7467941[/url]
Новые логи прикрепите.
по обычному логи не удаёться прикрепить пишет не т доступа залил ссылки дал см.выше
Скачайте [url=http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip]IceSword[/url].
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Winmp58.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Потом [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\AgataSoft_Image_Button.exe','');
QuarantineFile('C:\PROGRA~1\GISMET~1\GISMET~1.DLL','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\yndbar.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\npf.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\actvcomm.sys','');
QuarantineFile('srv.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winmp58.sys','');
QuarantineFile('C:\WINDOWS\system32\zvprtmon5.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\stremu.SYS','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_');
DeleteFile('C:\WINDOWS\system32\Drivers\Winmp58.sys');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winmp58');
BC_DeleteSvc('mi-raysat_3dsmax8EhttpSrv');
BC_DeleteSvc('EhttpSrvDhcp');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=26200[/url] ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
карантин выслал ise.exe explorer.exe проблема как выслать Winmp58.sys ? Новые логи прикрепил.
Файл присылать в архиве с паролем virus по той же ссылке.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Новый диск\Школа контраварийного вождения\setup\Internet Explorer 6 Rus\check_ie.exe','');
DeleteFile('C:\Program Files\AgataSoft_Image_Button.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe');
DelBHO('10954C80-4F0F-11d3-B17C-00C0DFE39456');
DelCLSID('08B0E5C0-4FCB-11CF-AAX5-90401C608512');
BC_ImportDeletedList;
ExecuteSysClean;
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_DeleteSvc('winmgmtupnphost');
BC_DeleteSvc('MSDTCEvtEng');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин.
Вот это Вам знакомо?:
[code]O17 - HKLM\System\CCS\Services\Tcpip\..\{392F69B9-E55B-4B8E-9CF0-33803D3D2838}: NameServer = 80.254.111.254,195.161.172.254[/code]
Если незнакомо, то [url=http://virusinfo.info/showthread.php?t=4491]пофиксите в HijackThis[/url] эту строчку.
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]32[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.aqh[/B] (DrWEB: Trojan.DownLoad.3187)[/LIST][/LIST]