Компьютер жрёт трфик с офигенной скоростью.
Printable View
Компьютер жрёт трфик с офигенной скоростью.
[b]Восстановление системы отключить.[/b]
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('fs', 4);
SetServiceStart('Aetrsx', 4);
DeleteService('Aetrsx');
DeleteService('fs');
QuarantineFile('C:\WINDOWS\system32\mcgrx.dll','');
QuarantineFile('C:\WINDOWS\system32\RumbtoC.dll','');
QuarantineFile('C:\WINDOWS\msdnc4.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('c:\windows\system32\rumbtoc.dll','');
QuarantineFile('c:\windows\system32\ptsrunsrv.dll','');
QuarantineFile('c:\windows\system32\mcgrx.dll','');
QuarantineFile('c:\windows\resdx.exe','');
TerminateProcessByName('c:\windows\resdx.exe');
QuarantineFile('c:\windows\avx.exe','');
TerminateProcessByName('c:\windows\avx.exe');
DeleteFile('c:\windows\avx.exe');
DeleteFile('c:\windows\resdx.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winlogon.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Firewall auto setup');
DeleteFile('C:\WINDOWS\msdnc4.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','System');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Обновите базы avz,
Сделайте новые логи.
Файл сохранён как 091223_084354_virus_4b31ae1a3269a.zip
Размер файла 257630
MD5 742ade5c5475d6a8ad61fd90ee96bfc5
AVZ наконец-то благополучно обновилась.
Логи чуть-чуть позже
Попробовал выполнить скрипт "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" - подключился к интернету, комп сожрал все деньги на счету секунд за 10 (скорость подключения до 100Mbs не безлимит :( ).
Посему, к сожалению выполняю скрипт с отключенным интернетом.
Безопасный режим не грузиться. Во время работы CureIT вылетает ошибка, что IE966.exe выполнило недопустимую операцию, и будет закрыто. Потом Cure говорит, что были обнаружены вирусы, убраны в карантин и содан лог, котоые можно посмотреть по пути С:\и.т.д.
Но в папке ничего нет. Карантин пустой, лог от дветысячи лохматого года.
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
O20 - AppInit_DLLs: ss12C40088dll.dll,ar12A40097dll.dll,ss12B60095dll.dll,ss12D30002dll.dll,ss12D50000dll.dll,ss12C704dll.dll,ar12A80099dll.dll,ss12D40000dll.dll,ss12A70096dll.dll,ar12B3010dll.dll,ss12D004dll.dll
O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)
O21 - SSODL: 446109 - {5A041F13-A111-12B0-B0CF-F99818AA68A5} - C:\WINDOWS\system32\ss12D004dll.dll
O21 - SSODL: 454593 - {5A041F13-A111-12A4-B0CF-F99818AA68A5} - C:\WINDOWS\system32\ar12A40097dll.dll
O21 - SSODL: 466296 - {5A041F13-A111-12B6-B0CF-F99818AA68A5} - C:\WINDOWS\system32\ss12B60095dll.dll
O21 - SSODL: 475250 - {5A041F13-A111-12B0-B0CF-F99818AA68A5} - C:\WINDOWS\system32\ss12D004dll.dll
O21 - SSODL: 493343 - {5A041F13-A111-12B0-B0CF-F99818AA68A5} - C:\WINDOWS\system32\ss12D004dll.dll
O21 - SSODL: 503343 - {5A041F13-A111-12A8-B0CF-F99818AA68A5} - C:\WINDOWS\system32\ar12A80099dll.dll
O21 - SSODL: 522296 - {5A041F13-A111-12B0-B0CF-F99818AA68A5} - C:\WINDOWS\system32\ss12D004dll.dll
O21 - SSODL: 532812 - {5A041F13-A111-12B3-B0CF-F99818AA68A5} - C:\WINDOWS\system32\ar12B3010dll.dll
O21 - SSODL: 89687 - {5A041F13-A111-12B6-B0CF-F99818AA68A5} - C:\WINDOWS\system32\ss12B60095dll.dll
O21 - SSODL: 163812 - {5A041F13-A111-12B0-B0CF-F99818AA68A5} - C:\WINDOWS\system32\ss12D004dll.dll
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{5A041F13-A111-12B6-B0CF-F99818AA68A5}');
DelBHO('{5A041F13-A111-12B3-B0CF-F99818AA68A5}');
DelBHO('{5A041F13-A111-12B0-B0CF-F99818AA68A5}');
DelBHO('{5A041F13-A111-12A8-B0CF-F99818AA68A5}');
DelBHO('{5A041F13-A111-12A4-B0CF-F99818AA68A5}');
QuarantineFile('C:\WINDOWS\system32\dllcache\lsasvc.dll','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SH4A98EP\15[1].exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OT6FWLY7\16[1].exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CTQ7OXMN\17[1].exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\P6I4XDJV\scanner[1].zip','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\C56ZS16J\scanner[1].zip','');
QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('c:\windows\system32\usnadjuxramkftn.dll','');
QuarantineFile('c:\windows\system32\userrunsrv.dll','');
QuarantineFile('C:\WINDOWS\system32\t329087.dll','');
QuarantineFile('C:\WINDOWS\system32\t320046.dll','');
QuarantineFile('C:\WINDOWS\system32\ss12D50000dll.dll','');
QuarantineFile('C:\WINDOWS\system32\ss12D40000dll.dll','');
QuarantineFile('C:\WINDOWS\system32\ss12D30002dll.dll','');
QuarantineFile('C:\WINDOWS\system32\ss12D004dll.dll','');
QuarantineFile('C:\WINDOWS\system32\ss12C40088dll.dll','');
QuarantineFile('C:\WINDOWS\system32\ss12B60095dll.dll','');
QuarantineFile('C:\WINDOWS\system32\ss12A70096dll.dll','');
QuarantineFile('C:\WINDOWS\system32\kb923133035.dll','');
QuarantineFile('C:\WINDOWS\system32\kb823133045.dll','');
QuarantineFile('C:\WINDOWS\system32\kb1823133024.dll','');
QuarantineFile('C:\WINDOWS\System32\IMM32.DLL',''); // Посмотреть карантин
QuarantineFile('C:\WINDOWS\system32\cryptcom.dll',''); // Посмотреть карантин
QuarantineFile('c:\windows\system32\baqkzfoguyr.dll','');
QuarantineFile('C:\WINDOWS\system32\ar12B3010dll.dll','');
QuarantineFile('C:\WINDOWS\system32\ar12A40097dll.dll','');
QuarantineFile('C:\WINDOWS\system32\acpi24.ocx','');
QuarantineFile('C:\WINDOWS\system32\acpi24.dll','');
TerminateProcessByName('c:\windows\system32\h44fflmvdn\p001.exe');
QuarantineFile('c:\windows\system32\h44fflmvdn\p001.exe','');
TerminateProcessByName('c:\windows\system32\h44fflmvdn\m001.exe');
QuarantineFile('c:\windows\system32\h44fflmvdn\m001.exe','');
TerminateProcessByName('c:\windows\system32\lcbxv.exe');
QuarantineFile('c:\windows\system32\lcbxv.exe','');
TerminateProcessByName('c:\windows\system32\hedsv4qjwr\d001.exe');
QuarantineFile('c:\windows\system32\hedsv4qjwr\d001.exe','');
TerminateProcessByName('c:\windows\ati2ezz.exe');
QuarantineFile('c:\windows\ati2ezz.exe','');
DeleteFile('c:\windows\ati2ezz.exe');
DeleteFile('c:\windows\system32\hedsv4qjwr\d001.exe');
DeleteFile('c:\windows\system32\lcbxv.exe');
DeleteFile('c:\windows\system32\h44fflmvdn\m001.exe');
DeleteFile('c:\windows\system32\h44fflmvdn\p001.exe');
DeleteFile('C:\WINDOWS\system32\acpi24.dll');
DeleteFile('C:\WINDOWS\system32\acpi24.ocx');
DeleteFile('C:\WINDOWS\system32\ar12A40097dll.dll');
DeleteFile('C:\WINDOWS\system32\ar12A80099dll.dll');
DeleteFile('C:\WINDOWS\system32\ar12B3010dll.dll');
DeleteFile('c:\windows\system32\baqkzfoguyr.dll');
DeleteFile('C:\WINDOWS\system32\kb1823133024.dll');
DeleteFile('C:\WINDOWS\system32\kb823133045.dll');
DeleteFile('C:\WINDOWS\system32\kb923133035.dll');
DeleteFile('C:\WINDOWS\system32\ss12A70096dll.dll');
DeleteFile('C:\WINDOWS\system32\ss12B60095dll.dll');
DeleteFile('C:\WINDOWS\system32\ss12C40088dll.dll');
DeleteFile('C:\WINDOWS\system32\ss12C704dll.dll');
DeleteFile('C:\WINDOWS\system32\ss12D004dll.dll');
DeleteFile('C:\WINDOWS\system32\ss12D30002dll.dll');
DeleteFile('C:\WINDOWS\system32\ss12D40000dll.dll');
DeleteFile('C:\WINDOWS\system32\ss12D50000dll.dll');
DeleteFile('C:\WINDOWS\system32\t320046.dll');
DeleteFile('C:\WINDOWS\system32\t329087.dll');
DeleteFile('c:\windows\system32\userrunsrv.dll');
DeleteFile('c:\windows\system32\usnadjuxramkftn.dll');
DeleteFile('C:\WINDOWS\system32\regedit32.exe');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{5A041F13-A111-12A4-B0CF-F99818AA68A5}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','454593');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{5A041F13-A111-12A8-B0CF-F99818AA68A5}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','503343');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{5A041F13-A111-12B3-B0CF-F99818AA68A5}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','532812');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AuduoServic\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{5A041F13-A111-12B6-B0CF-F99818AA68A5}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','466296');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','89687');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{5A041F13-A111-12B0-B0CF-F99818AA68A5}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','446109');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','475250');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','493343');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','522296');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','163812');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\UserPSrv\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\asp.net-Stat\Parameters','ServiceDll');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\C56ZS16J\scanner[1].zip');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\P6I4XDJV\scanner[1].zip');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\TEK83S1E\scanner[1].zip');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CTQ7OXMN\17[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OT6FWLY7\16[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SH4A98EP\15[1].exe');
DeleteFile('C:\WINDOWS\system32\dllcache\lsasvc.dll');
DeleteFileMask('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\', '*.*', true);
DeleteFile('c:\windows\system32\ptsrunsrv.dll'); //Trojan-Downloader.Win32.FraudLoad.wxfs
DeleteFile('c:\windows\system32\rumbtoc.dll'); //Backdoor.Win32.Xyligan.ms
BC_ImportALL;
BC_DeleteSvc('protect');
BC_DeleteSvc('acpi24Drv');
BC_DeleteSvc('vf');
BC_DeleteSvc('DescriptionHero');
BC_DeleteSvc('bd');
BC_DeleteSvc('BackGround Switch');
BC_DeleteSvc('vfs');
BC_DeleteSvc('NoteBook');
BC_DeleteSvc('gcbg');
BC_DeleteSvc('Description');
BC_DeleteSvc('Ati2ezz');
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR].
[B][COLOR="Red"]Сделайте полную проверку антивирусом[/COLOR][/B] (AVPTool, CureIt)
Повторите логи по правилам.
При попытке выполнить "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" - вываливает несколько окошек с ошибками и намертво вешает систему.
После reseta скрипт выполняет.
AVPTool и CureIt вываливаются с ошибкой.
KIS 10 после лечения не запускается.
Карантин и логи теперь только в следующий рабочий день :(
Строка
O20 - AppInit_DLLs: ss12C40088dll.dll,ar12A40097dll.dll,ss12B60095dll.dll,ss12D30002dll.dll,ss12D50000dll.dll,ss12C704dll.dll,ar12A80099dll.dll,ss12D40000dll.dll,ss12A70096dll.dll,ar12B3010dll.dll,ss12D004dll.dll
в хайджеке на месте, только цифры стали другие
Выполняйте
[QUOTE='light59;542843']Повторите логи по правилам.[/QUOTE]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\avx.exe - [B]Trojan-Downloader.Win32.Ogran.dl[/B] ( DrWEB: BackDoor.ClDdos.13, AVAST4: Win32:Trojan-gen )[*] c:\windows\resdx.exe - [B]Trojan-Downloader.Win32.Ogran.dl[/B] ( DrWEB: BackDoor.ClDdos.13, AVAST4: Win32:Trojan-gen )[*] c:\windows\system32\ptsrunsrv.dll - [B]Trojan-Downloader.Win32.FraudLoad.wxfs[/B] ( DrWEB: Trojan.DownLoad1.10707, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\rumbtoc.dll - [B]Backdoor.Win32.Xyligan.ms[/B] ( DrWEB: Trojan.DownLoad1.18956, AVAST4: Win32:PcClient-ZE [Trj] )[/LIST][/LIST]