Подцепил в Интернете,вероятно,Трояна.Среди базовых появился процесс cpl32ver,Кюр ит и Авз не определяют вирус,но сигнализируют о непонятных процессах.Стал стремительно убегать трафф!Прошу помощи специалистов!
Подцепил в Интернете,вероятно,Трояна.Среди базовых появился процесс cpl32ver,Кюр ит и Авз не определяют вирус,но сигнализируют о непонятных процессах.Стал стремительно убегать трафф!Прошу помощи специалистов!
[B]Нарушения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] при сборе информации для раздела Помогите.
[COLOR="Red"]
- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
[/COLOR]
Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.[/B]
Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\System32\Drivers\Ubg51.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Cpl32ver.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ubg51.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ubg51.sys','');
QuarantineFile('c:\windows\system32\cpl32ver.exe','');
DeleteService('Ubg51');
DeleteFile('c:\windows\system32\cpl32ver.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Ubg51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ubg51.sys');
DeleteFile('C:\WINDOWS\System32\Cpl32ver.exe');
DeleteFile('C:\Documents and Settings\Admin\DoctorWeb\Quarantine\A0035763.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Ubg51');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи п. 2 и 3 Диагностики.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
В процессе выполнения вылезла еще одна серьезная проблема,после скрипта в АВЗ и перезагрузки прицепилкась прога АнтивирусХР2008 и начала просить лицензию,удаление блокируется,блокируется рабочий стол и даже для доступа на интернетн страницу требуется регистрация этой проги.Программа сама включает восстановление системы,после моего отключения.Сидит в паке с непонятным названием rhcgmej0ej6l.Базы АВЗ обновил
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pphclmej0ej6l.exe','');
QuarantineFile('C:\WINDOWS\system32\dvopzy.dll','');
QuarantineFile('\systemroot\system32\drivers\TDSSserv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\TDSSserv.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\system32\blphclmej0ej6l.scr','');
QuarantineFile('dvopzy.dll','');
QuarantineFile('C:\WINDOWS\system32\lphclmej0ej6l.exe','');
DeleteFile('C:\WINDOWS\system32\lphclmej0ej6l.exe');
DeleteFile('dvopzy.dll');
DeleteFile('C:\WINDOWS\system32\blphclmej0ej6l.scr');
DeleteFile('C:\Program Files\rhcgmej0ej6l\rhcgmej0ej6l.exe');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\drivers\TDSSserv.sys');
DeleteFile('\systemroot\system32\drivers\TDSSserv.sys');
DeleteFile('C:\WINDOWS\system32\dvopzy.dll');
DeleteFile('C:\WINDOWS\system32\pphclmej0ej6l.exe');
BC_ImportAll;
ExecuteSysClean;
executerepair(5);
executerepair(6);
executerepair(8);
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи п. 2 и 3 Диагностики.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
Не помогает!Высылаю логи и закачиваю карантин.Погорячился вроде эффект есть,но после перезагрузки опять появилось окно поиска каких-то новых устройств.Выход траффа вроде остановлен,но прошу проверить все ли нормально!Заранее спасибо
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: dvopzy - C:\WINDOWS\
[/CODE]
С точки зрения логов - у Вас чисто.
Попробуйте порыть в направление Мастер поиска и устранения проблем в АВЗ.
Спасибо,вроде все нормально теперь!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\doctorweb\\quarantine\\a0035763.exe - [B]not-a-virus:WebToolbar.Win32.BitAccelerator.e[/B] (DrWEB: archive: Trojan.BitAcc)[*] c:\\windows\\system32\\blphclmej0ej6l.scr - [B]Trojan.Win32.FraudPack.ijv[/B] (DrWEB: Trojan.Fakealert.1321)[*] c:\\windows\\system32\\cpl32ver.exe - [B]Trojan.Win32.Agent.adzf[/B] (DrWEB: BackDoor.Bulknet.239)[*] c:\\windows\\system32\\dvopzy.dll - [B]Backdoor.Win32.Hijack.w[/B] (DrWEB: BackDoor.JackBot.3)[*] c:\\windows\\system32\\lphclmej0ej6l.exe - [B]Backdoor.Win32.Frauder.fb[/B] (DrWEB: Trojan.Packed.638)[*] c:\\windows\\system32\\pphclmej0ej6l.exe - [B]not-a-virus:FraudTool.Win32.XPAntivirus.qj[/B] (DrWEB: Trojan.Fakealert.1264)[/LIST][/LIST]