Printable View
Проблема в следующем:
Комп качает трафик без участия человека так сказать.
Устанавливает беспорядочные соединения по 25 порту.
Сканировал Nod32. Нашел пару вирусов. Удалил. Но один все равно остается. [B]autoit.dw[/B]
Его Нод видит, пишет, что изолировал (в каронтин помещает) и все, трафик по прежнему исчезает.
Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]c:\windows\system32\winctrl32.dll
c:\windows\system32\winctrl32.bak
c:\windows\system32\winctrl32.dl_
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине ..avz\quarantine\<<YYYY-MM-DD>>
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Winty38');
StopService('Winjo38');
StopService('TapiSrvVSS');
StopService('TapiSrvNtmsSvc');
StopService('stisvcSamSs');
StopService('stisvcRDSessMgr');
StopService('SamSsProtectedStorage');
StopService('RSVPodserv');
StopService('RemoteRegistryDcomLaunch');
StopService('NtLmSspMSIServer');
StopService('mnmsrvcBrowser');
StopService('MicrosoftTapiSrv');
StopService('AudioSrvVSS');
StopService('AlerterImapiService');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('weccom.exe','');
QuarantineFile('c:\windows\system32\winctrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winty38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo38.sys','');
QuarantineFile('C:\DOCUME~1\F8C2~1\LOCALS~1\Temp\wins8Iqx15dE.exe','');
DeleteService('Winty38');
DeleteService('Winjo38');
DeleteService('TapiSrvVSS');
DeleteService('TapiSrvNtmsSvc');
DeleteService('stisvcSamSs');
DeleteService('stisvcRDSessMgr');
DeleteService('SamSsProtectedStorage');
DeleteService('RSVPodserv');
DeleteService('RemoteRegistryDcomLaunch');
DeleteService('NtLmSspMSIServer');
DeleteService('mnmsrvcBrowser');
DeleteService('MicrosoftTapiSrv');
DeleteService('AudioSrvVSS');
DeleteService('AlerterImapiService');
DeleteFile('WinCtrl32.dll');
DeleteFile('weccom.exe');
DeleteFile('c:\windows\system32\winctrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjo38.sys');
DeleteFile('C:\DOCUME~1\F8C2~1\LOCALS~1\Temp\wins8Iqx15dE.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winty38');
BC_DeleteSvc('Winjo38');
BC_DeleteSvc('TapiSrvVSS');
BC_DeleteSvc('TapiSrvNtmsSvc');
BC_DeleteSvc('stisvcSamSs');
BC_DeleteSvc('stisvcRDSessMgr');
BC_DeleteSvc('SamSsProtectedStorage');
BC_DeleteSvc('RSVPodserv');
BC_DeleteSvc('RemoteRegistryDcomLaunch');
BC_DeleteSvc('NtLmSspMSIServer');
BC_DeleteSvc('mnmsrvcBrowser');
BC_DeleteSvc('MicrosoftTapiSrv');
BC_DeleteSvc('AudioSrvVSS');
BC_DeleteSvc('AlerterImapiService');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
ПС: Почему Сервис Пак 3 до сих пор не установлен?
Как его установить и что он дает?
Смотри подпись Rene-Gad, там есть ссылка на скачивание СП3.
Это доп. защита от дырок в системе.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Winsx73');
StopService('Wingm38');
StopService('SwPrvHTTPFilter');
StopService('RemoteRegistryDcomLaunchSamSs');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsx73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm38.sys','');
DeleteService('Winsx73');
DeleteService('Wingm38');
DeleteService('SwPrvHTTPFilter');
DeleteService('RemoteRegistryDcomLaunchSamSs');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingm38.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winsx73');
BC_DeleteSvc('Wingm38');
BC_DeleteSvc('SwPrvHTTPFilter');
BC_DeleteSvc('RemoteRegistryDcomLaunchSamSs');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.