Получил по аське от знакомого ссылку и пошел по ней. Нах? Нахватался...
Какая-то зараза постоянно лезет в инет и траффик идет даже привсех выключенных программах...
Помогите пожалуйста.
Printable View
Получил по аське от знакомого ссылку и пошел по ней. Нах? Нахватался...
Какая-то зараза постоянно лезет в инет и траффик идет даже привсех выключенных программах...
Помогите пожалуйста.
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
BC_DeleteSvc('Wingo75');
BC_DeleteSvc('Winkr53');
BC_DeleteSvc('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
BC_DeleteSvc('ltousqoy');
QuarantineFile('C:\WINDOWS\system32\drivers\ltousqoy.sys','');
BC_DeleteSvc('ati6cjxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati6cjxx.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkr53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingo75.sys');
SysCleanAddFile('D:\MYDOWN~1\CLIPS0~1.SCR');
DeleteFile('C:\WINDOWS\System32\rs32net.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Загрузите его в нормальном режиме.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color] верху этой темы.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Установите Adobe Reader 9.0 или удалите старый.
Тем не менее, кто-то постоянно просится в инет под видом скайпа (значок его). Высылаю лог запроса информации. мне кажется я в прошлый раз допустил ошибку - собирал информацию при выключенном инете.
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:
[CODE]C:\WINDOWS\system32\Drivers\ati6cjxx.sys
C:\WINDOWS\System32\drivers\tcpsr.sys[/CODE]
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ati6cjxx');
DeleteFile('C:\WINDOWS\system32\Drivers\ati6cjxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ati6cjxx');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи...
Григорий, а мы - земляки. Я из Нижнего...
Не смог найти с помощью скачанной утилиты
C:\WINDOWS\System32\drivers\tcpsr.sys
соответственно не удалил его.
все остальное сделал.
Предложение подключиться к интернету тем не менее возникает при загрузке.
С Уважением, Александр
В логах чисто.
[quote=LinevAlexander]Предложение подключиться к интернету тем не менее возникает при загрузке.[/quote]
Это нормально.
Тем не менее до заражения никакая зараза не ходила самостоятельно в интернет и не просилась туда, предлагая подключиться. Кроме того хоть и по немногу, но траффик идет, хотя интернет эксплорер, опера, почта, и аська со скайпом выключены. Что тогда двигает траффик?
Мне неспокойно. В основном изза предложения подключиться. Может подскажите, что инициирует подключение, я его снесу или переставлю?
С Уважением, Александр
Пересоздайте подключение...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\ltousqoy.sys - [B]Rootkit.Win32.Agent.ejv[/B] (DrWEB: Trojan.Sentinel.135)[*] c:\\windows\\system32\\rs32net.exe - [B]Trojan.Win32.Buzus.abyk[/B] (DrWEB: BackDoor.Bulknet.237)[/LIST][/LIST]