Помогите плз. Троян. Nod32 не помогает. С компа в инэт лезет левый трафик.
Printable View
Помогите плз. Троян. Nod32 не помогает. С компа в инэт лезет левый трафик.
Скачайте [URL="http://virusinfo.info/showthread.php?t=17228"]IceSword [/URL], поищите и удалите через опцию force delete файлы:
[CODE]C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\System32\Drivers\Wingm17.sys
C:\WINDOWS\System32\Drivers\Winyf41.sys
[/CODE]
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll
O2 - BHO: RuPass module - {954A0637-9147-4b5e-964E-9F20E58FC29D} - C:\Program Files\RuPass\RuPass.dll
O4 - HKLM\..\Run: [advap32] "C:\Program Files\Opera\profile\cache4\OPR058G2.EXE" nothing/r
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [ChristmasTree] C:\DOCUME~1\598B~1\LOCALS~1\Temp\Rar$EX00.985\Christmas.exe
O4 - HKCU\..\Run: [MailSkinner] c:\documents and settings\беляева\мои документы\анна\смайлы для почты\mailskinner.exe
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winyf41');
DeleteService('Wingm17');
DelBHO('{954A0637-9147-4b5e-964E-9F20E58FC29D}');
DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
QuarantineFile('crypts.dll','');
QuarantineFile('c:\documents and settings\беляева\мои документы\анна\смайлы для почты\mailskinner.exe','');
QuarantineFile('C:\DOCUME~1\598B~1\LOCALS~1\Temp\Rar$EX00.985\Christmas.exe','');
QuarantineFile('C:\Program Files\Opera\profile\cache4\OPR058G2.EXE','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm17.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\Program Files\RuPass\RuPass.dll','');
QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
DeleteFile('C:\Program Files\RuPass\RuPass.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingm17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyf41.sys');
DeleteFile('C:\Program Files\Opera\profile\cache4\OPR058G2.EXE');
DeleteFile('C:\DOCUME~1\598B~1\LOCALS~1\Temp\Rar$EX00.985\Christmas.exe');
DeleteFile('crypts.dll');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
удалил C:\WINDOWS\system32\WinCtrl32.dll
а этих 2-х
C:\WINDOWS\System32\Drivers\Wingm17.sys
C:\WINDOWS\System32\Drivers\Winyf41.sys
почемуто не было ... :?
.. пофиксил ...
... Выполнил скрипт..
... почистил (по софту прошелсятоже) ...
... логи сделал - на мой взгляд все чисто
... карантин пустой
--------------------------------------------
to Rene-Gad.
Можеш объяснить как ты анализировал полученные логи и как потом получил скрипт?
А то я как "обезьяна" выполнил инструкции ничего не понимая в процессе....
+ мне в офисе (теперь) надо обязательно проверить и остальные компы (не хочу занимать чужое время на решение моих проблем.....)
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]3. Повторите логи.
[QUOTE=ИгOPь;257400] мне в офисе (теперь) надо обязательно проверить и остальные компы (не хочу занимать чужое время на решение моих проблем...[/QUOTE]дави тут: [url]http://virusinfo.info/showpost.php?p=159072&postcount=1[/url]
C:\WINDOWS\system32\winsys2.exe - вот этого загрузи в карантин и отдельно одним куском пришли для проверки.
файл положил
Странная какая-то программа это. + использует madchook.dll
Если не знаешь, что это такое и зачем используется, думаю можно ее будет удалить.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]