У меня установлен антивирус Symantec но он ничего не может сделать, Dr Web тоже не помог. Я выполнил ваши инструкции и прошу помощи
Набор вирусов: Trojan.Blusod, Pandex, Packed.638, Fakealert.1264
Входишь в Инет и идет поедание моего трафика
Printable View
У меня установлен антивирус Symantec но он ничего не может сделать, Dr Web тоже не помог. Я выполнил ваши инструкции и прошу помощи
Набор вирусов: Trojan.Blusod, Pandex, Packed.638, Fakealert.1264
Входишь в Инет и идет поедание моего трафика
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('c:\windows\services.exe','');
QuarantineFile('C:\WINDOWS\system32\basetlor32.dll','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('srv.exe','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\blphcjtnj0ecf9.scr','');
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\basetlor32.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Gmr73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nty17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vdi73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingl15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhm15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winin48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjn48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winua16.sys');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\blphcjtnj0ecf9.scr');
DeleteFile('WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winua16');
BC_DeleteSvc('Winty04');
BC_DeleteSvc('Winsx04');
BC_DeleteSvc('Winqv83');
BC_DeleteSvc('Winjn48');
BC_DeleteSvc('Winin48');
BC_DeleteSvc('Winhm15');
BC_DeleteSvc('Wingl15');
BC_DeleteSvc('Vdi73');
BC_DeleteSvc('Nty17');
BC_DeleteSvc('Gmr73');
BC_DeleteSvc('W32TimeWZCSVC');
BC_DeleteSvc('SpoolerSNAC');
BC_DeleteSvc('SharedAccessLiveUpdate');
BC_DeleteSvc('Schedulestisvc');
BC_DeleteSvc('SCardSvrwinmgmt');
BC_DeleteSvc('RemoteAccessLiveUpdate');
BC_DeleteSvc('Messengerxmlprov');
BC_DeleteSvc('LiveUpdateNtmsSvc');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 2[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=30559[/url]
3. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[QUOTE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll[/QUOTE]
4. Сделайте новые логи (только п.2 и 3 раздела Диагностика).
карантин выслал чуть раньше, теперь новые логи
Вопрос насчет Symantec:
я его перевожу в состояние disable
по-другому выгрузить не получается,
может нуно сделать uninstall
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\lphcjtnj0ecf9.exe');
DeleteFile('C:\WINDOWS\system32\lphcjtnj0ecf9.exe');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjo72.sys');
DeleteFile('C:\WINDOWS\system32\blphcjtnj0ecf9.scr');
BC_ImportDeletedList;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_DeleteSvc('Winjo72');
BC_DeleteSvc('BITSSpooler');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. Сделайте новые логи (только п.2 и 3 раздела Диагностика).
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE=FEV74;286346]Вопрос насчет Symantec:
я его перевожу в состояние disable
по-другому выгрузить не получается,
может нуно сделать uninstall[/QUOTE]
Нет, не нужно.
Пишет:
Ошибка: Undeclared identifier:'BC_DeleteSvcDeleteFile' в позиции 4:24
Уже подправил. Выполняйте.
Новые логи
вот сейчас вроде бы никто трафик и не ворует, а у Symantec две проблемы
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
сделал Symantec - Enable, он пишет - нет проблем
Ничего зловредного в логах нет.
[QUOTE=FEV74;286369]
сделал Symantec - Enable, он пишет - нет проблем[/QUOTE]Это не смешно - отключтиь антивирус. О каких проблемах сообщает симантек?
1. Сейчас все в порядке - no problems detected
Symantec - Enable,
2. Symantec - disable:
File System Auto-Protect is disabled
Internet Email Auto-Protect is disabled
Только эти.
Вроде бы все в порядке?
[QUOTE=FEV74;286446]
2. Symantec - disable:
File System Auto-Protect is disabled
Internet Email Auto-Protect is disabled
[/QUOTE]Если Вы отключаете мониторинг файловой системы и интернета, то Вам и остальные модули вроде как ни к чему... 8) Удалите тогда антивирус - и все ....:)
:)
Спасибо большое!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\services.exe - [B]Email-Worm.Win32.Joleee.w[/B] (DrWEB: Trojan.Spambot.3588)[*] c:\\windows\\system32\\basetlor32.dll - [B]Trojan.Win32.Subsys.gen[/B][*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.bna[/B] (DrWEB: BackDoor.Bulknet.225)[/LIST][/LIST]