Printable View
При подключении к интернету создается 3 таких левых процесса, которые начинают отправлять и принимать пакеты. Создает их процесс BN10.tmp или BN12.tmp
А еще даже если их остановить, при общем доступе к интернету тоже что то отправляет и принимает.
Помогите пожалйста.
[url]http://virusinfo.info/showthread.php?t=1235[/url]
логи я прикрепил
!
Скачайте [URL="http://rapidshare.com/files/133061044/IceSword122en.zip.html"]IceSword.[/URL] Запустите, слева внизу нажмите File, затем найдите:
[quote]C:\WINDOWS\System32\Drivers\ati0swxx.sys[/quote]и сделайте им [URL="http://virusinfo.info/showthread.php?t=17228"]Force Delete.[/URL]
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0swxx.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethyzrjb.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\restore.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhm60.sys','');
QuarantineFile('.exe','');
QuarantineFile('C:\WINDOWS\TEMP\init.exe','');
QuarantineFile('C:\WINDOWS\hdrqsjse.exe','');
QuarantineFile('C:\WINDOWS\jsmivxtr.exe','');
QuarantineFile('C:\WINDOWS\zhhnwpxj.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\0AMAZW1E\0032[1].exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\DBGN6M03\l07[3].exe','');
QuarantineFile('C:\WINDOWS\system32\iertutil.dll','');
QuarantineFile('C:\WINDOWS\system32\iedkcs32.dll','');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0swxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ethyzrjb.sys');
DeleteFile('C:\WINDOWS\system32\drivers\restore.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhm60.sys');
DeleteFile('.exe');
DeleteFile('C:\WINDOWS\TEMP\init.exe');
DeleteFile('C:\WINDOWS\hdrqsjse.exe');
DeleteFile('C:\WINDOWS\jsmivxtr.exe');
DeleteFile('C:\WINDOWS\zhhnwpxj.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\0AMAZW1E\0032[1].exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\DBGN6M03\l07[3].exe');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1);
BC_DeleteSvc('ati0swxx');
BC_DeleteSvc('ethyzrjb');
BC_DeleteSvc('restore');
BC_DeleteSvc('Winhm60');
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=35482[/URL]
3. Повторите логи.
Вот логи
Ничего зловредного в логах нет.
вроде все норм, только надо еще 2-й компьютер проверить
Это в отдельной теме.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]31[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\config\\systemprofile\\local settings\\temporary internet files\\content.ie5\\dbgn6m03\\l07[3].exe - [B]Trojan.Win32.Small.ysh[/B] (DrWEB: Trojan.DownLoad.25811)[*] c:\\windows\\system32\\config\\systemprofile\\local settings\\temporary internet files\\content.ie5\\0amazw1e\\0032[1].exe - [B]Trojan.Win32.Agent.avdo[/B][*] c:\\windows\\system32\\drivers\\ethyzrjb.sys - [B]Rootkit.Win32.Agent.fmh[/B] (DrWEB: Trojan.PWS.GoldSpy.2553)[/LIST][/LIST]