Постоянно отсылает пакеты в инет, положил сетку,загружает проц, пробовал лечить удалять avz не помогает.
Printable View
Постоянно отсылает пакеты в инет, положил сетку,загружает проц, пробовал лечить удалять avz не помогает.
[b]Отключите службу восстановления системы[/b] (см. Приложение 1 Правил).
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('ifxzdyw.dll','');
DelCLSID('4D25FB7A-8902-4291-960E-9ADA051CFBBF');
QuarantineFile('C:\System Volume Information\_restore{764CB16E-3EF9-4765-98B9-F95638026077}\RP112\A0086779.exe','');
QuarantineFile('C:\WINDOWS\Temp\BN2.tmp','');
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
QuarantineFile('C:\WINDOWS\Temp\BN3.tmp','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
BC_QrFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DelCLSID('73B24247-042E-4EF5-ADC2-42F62E6FD654');
DelBHO('{320AF880-6646-11D3-ABEE-C5DBF3571F46}');
DelBHO('{320AF880-6646-11D3-ABEE-C5DBF3571F49}');
DelBHO('{724d43aa-0d85-11d4-9908-00400523e39a}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{B863453A-26C3-4e1f-A54D-A2CD196348E9}');
DelBHO('{4B3803EA-5230-4DC3-A7FC-33638F3D3542}');
DeleteService('ati6hmxx');
DeleteService('Hmr73');
DeleteService('Xsx40');
DeleteService('ati5puxx');
DeleteService('tcpsr');
DeleteService('StarWindServiceAE');
DeleteService('Rdpialecaiwi');
BC_DeleteSvc('ati6hmxx');
BC_DeleteSvc('Hmr73');
BC_DeleteSvc('Xsx40');
BC_DeleteSvc('ati5puxx');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('StarWindServiceAE');
BC_DeleteSvc('Rdpialecaiwi');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati5puxx.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\ati5puxx.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\ati5puxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xsx40.sys');
DeleteFile('C:\WINDOWS\Temp\BN3.tmp');
DeleteFile('C:\WINDOWS\system32\ifxzdyw.dll');
BC_DeleteFile('C:\WINDOWS\Temp\BN3.tmp');
BC_DeleteFile('C:\WINDOWS\system32\digeste.dll');
BC_DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_DeleteFile('C:\WINDOWS\Temp\BN2.tmp');
DeleteFile('C:\System Volume Information\_restore{764CB16E-3EF9-4765-98B9-F95638026077}\RP112\A0086779.exe');
DeleteFile('ifxzdyw.dll');
DeleteFile('C:\WINDOWS\system32\Macromed\Flash\FlashUtil9f.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Лог.
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
ClearQuarantine;
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\System32\Drivers\ati5puxx.sys','');
QuarantineFile('c:\windows\temp\nlb4.tmp','');
DeleteFile('c:\windows\temp\nlb4.tmp');
DeleteFile('C:\WINDOWS\system32\ifxzdyw.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\ati5puxx.sys');
DeleteFile('digeste.dll');
DeleteFile('ifxzdyw.dll');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\system32\ifxzdyw.dll');
DeleteFile('C:\WINDOWS\Temp\BN2.tmp');
DeleteFile('C:\WINDOWS\Temp\BN5.tmp');
DeleteFile('C:\WINDOWS\Temp\mux7.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Скачайте [url=http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip]IceSword[/url], без него тут не обойтись.
Лог
Скачать этот AVZ [URL="http://rapidshare.com/files/199106177/toto.pif"]http://rapidshare.com/files/199106177/toto.pif[/URL].
Выполните скрипт в скаченном AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ati5puxx');
DeleteFile('C:\WINDOWS\system32\Drivers\ati5puxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportDeletedList;
BC_DeleteSvc('ICF');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('ati5puxx');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи (пункты 1, 3 диагностики).
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\system volume information\_restore{764cb16e-3ef9-4765-98b9-f95638026077}\rp112\a0086779.exe - [B]not-a-virus:WebToolbar.Win32.BitAccelerator.o[/B]( DrWEB: Adware.BitAcc.12, BitDefender: Adware.Accelerator.R )[*] c:\windows\system32\digeste.dll - [B]Backdoor.Win32.Zdoogu.ap[/B][*] c:\windows\system32\ifxzdyw.dll - [B]Backdoor.Win32.Hijack.an[/B]( BitDefender: Trojan.FakeAlert.ABZ )[*] c:\windows\system32\svchost.exe:ext.exe:$data - [B]Trojan.Win32.Inject.qag[/B]( BitDefender: Gen:Trojan.Heur.P1040BFEFEF )[*] c:\windows\temp\bn2.tmp - [B]Backdoor.Win32.Small.hgi[/B]( BitDefender: Trojan.Downloader.JLOE )[*] c:\windows\temp\bn3.tmp - [B]Backdoor.Win32.Small.hgi[/B]( BitDefender: Trojan.Downloader.JLOE )[*] c:\windows\temp\nlb4.tmp - [B]Backdoor.Win32.Hijack.al[/B]( BitDefender: Dropped:Trojan.FakeAlert.ABZ )[/LIST][/LIST]