Траффик + тормоза

Printable View

04.08.2008, 14:28
Alloy

Вложений: 3

Траффик + тормоза

логи:
04.08.2008, 14:52
Rene-gad

Скачайте [URL="http://virusinfo.info/showthread.php?t=17228"]IceSword [/URL], поищите и удалите через опцию force delete файл:
[CODE]C:\WINDOWS\System32\Drivers\Winci05.sys
C:\WINDOWS\system32\WinCtrl32.dll
[/CODE]
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [advap32] "C:\DOCUME~1\4977~1\LOCALS~1\Temp\loader.exe" /r
O20 - AppInit_DLLs: ,
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('wscsvcThemes');
DeleteService('UPSUPS');
DeleteService('TlntSvrNtLmSsp');
DeleteService('SpoolerWmi');
DeleteService('RasManERSvc');
DeleteService('HidServWmiApSrv');
DeleteService('BITSUPS');
DeleteService('wscsvcSwPrv');
DeleteService('Winci05');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('srv.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winci05.sys','');
QuarantineFile('C:\DOCUME~1\4977~1\LOCALS~1\Temp\loader.exe','');
DeleteFile('C:\DOCUME~1\4977~1\LOCALS~1\Temp\loader.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winci05.sys');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteService('wscsvcThemes');
BC_DeleteService('UPSUPS');
BC_DeleteService('TlntSvrNtLmSsp');
BC_DeleteService('SpoolerWmi');
BC_DeleteService('RasManERSvc');
BC_DeleteService('HidServWmiApSrv');
BC_DeleteService('BITSUPS');
BC_DeleteService('wscsvcSwPrv');
BC_DeleteService('Winci05');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
04.08.2008, 15:29
Alloy

все сделал кроме:
BC_DeleteService('wscsvcThemes');
BC_DeleteService('UPSUPS');
BC_DeleteService('TlntSvrNtLmSsp');
BC_DeleteService('SpoolerWmi');
BC_DeleteService('RasManERSvc');
BC_DeleteService('HidServWmiApSrv');
BC_DeleteService('BITSUPS');
BC_DeleteService('wscsvcSwPrv');
BC_DeleteService('Winci05');
говорит: процедура не определена BC_DeleteService
04.08.2008, 15:31
Rene-gad

[QUOTE=Alloy;263079]
говорит: процедура не определена BC_DeleteService[/QUOTE]Моя ошибка :( Повторите логи, плиз. Может они и без бутклинера убились. ;)
04.08.2008, 15:56
Alloy

Вложений: 3

Логи

вот:
04.08.2008, 15:59
Rene-gad

c:\avir\60.com - это что-то переименованное?
Почему базы АВЗ не обновили? Обновить, выполнить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('FastUserSwitchingCompatibilityNetDDE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('FastUserSwitchingCompatibilityNetDDE');
RebootWindows(true);
end.[/CODE]
повторить логи
04.08.2008, 16:38
Alloy

Вложений: 3

обновил...
логи:
04.08.2008, 16:42
Rene-gad

[QUOTE=Alloy;263113]обновил...[/QUOTE]Кого обновил? :O
[QUOTE]Внимание !!! База поcледний раз обновлялась [B]06.04.2008[/B] необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 04.08.2008 19:37:48[/QUOTE]
05.08.2008, 08:07
Alloy

Вложений: 2

Извините... Молодой. Дурной. Исправился.
Логи:
05.08.2008, 08:15
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('FastUserSwitchingCompatibilityNetDDE');
DeleteFile('srv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('FastUserSwitchingCompatibilityNetDDE');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи с п.10 правил...
05.08.2008, 08:23
Alloy

Вложений: 2

Повторяю

логи:
05.08.2008, 08:33
Гриша

В логах чисто,жалобы есть?
05.08.2008, 08:52
Alloy

Есть чувство благодарности! Спасибо. Все работает!
22.02.2009, 06:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\services.exe - [B]Trojan-Proxy.Win32.Small.uh[/B] (DrWEB: Trojan.Packed.573)[/LIST][/LIST]