mprtsclib.exe и B7879.exe грузят комп

Printable View

Показывать 40 сообщений этой темы на одной странице

05.05.2010, 12:02
DEMIDoFF

mprtsclib.exe и B7879.exe грузят комп

ети процессы после принудительного завершения возобновляются и едят трафик а еще они вызывают ошибку генерик ност контроллер после чего инет отрубается помогите избавиться от напасти
05.05.2010, 12:14
V_Bond

выполните скрипт
[code]
begin
QuarantineFile('c:\huadio.tmp','');
DeleteService('autorun');
DeleteFile('c:\huadio.tmp');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\2W6VFE5V\App[1].zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
установите сп3 + все обновления сделайте логи в нормальном режиме
05.05.2010, 18:21
DEMIDoFF

не могу загрузить обновления на сп3 у мну нет возможности пока
подскажите скрипты какие выполнить а то ета вредная штука не исчезает.а файл карантина не влезает на вложение он весит даже после сжатия 2.47мб
05.05.2010, 18:35
миднайт

[QUOTE='V_Bond;632316']сделайте логи в нормальном режиме[/QUOTE]!
+ обновите базы AVZ.
05.05.2010, 18:50
DEMIDoFF

как понять в нормальном режиме?
05.05.2010, 18:51
миднайт

В обычном режиме работы операционной системы. У вас логи из безопасного режима сделаны (Safe Mode)
06.05.2010, 20:50
DEMIDoFF

вот логи в нормальном режиме
PS:базы обновил
др веб каждый раз верещит.. трояна удаляет, а он снова появляется и в папке систем32 добавляются папки такого плана 48GR2EDF.как мне вылечить компьютер
06.05.2010, 22:45
Шапельский Александр

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\2W6VFE5V\App[1].zip','');
QuarantineFile('C:\WINDOWS\System32\ctsrv.exe','');
QuarantineFile('C:\WINDOWS\system32\WVLDFAI4GE\B7879.exe','');
QuarantineFile('c:\windows\system32\mprtsvstart.dll','');
DeleteFile('C:\WINDOWS\system32\WVLDFAI4GE\B7879.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\2W6VFE5V\App[1].zip');
DeleteService('vsrfr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
08.05.2010, 14:29
DEMIDoFF

все сделал как сказано
08.05.2010, 14:42
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\w.exe','');
QuarantineFile('c:\windows\system32\ipripv32.dll','');
QuarantineFile('c:\windows\system32\6to4v32.dll','');
QuarantineFile('C:\Program Files\Microsoft Office\svchost.exe','');
QuarantineFile('C:\PROGRA~1\StormII\oylhg.lnk','');
DeleteService('vsrfr');
DeleteFile('c:\windows\system32\mprtsvstart.dll');
DeleteFile('C:\WINDOWS\system32\5MUSPM723E\B7879.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MprvSrv\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Microsoft Office\svchost.exe');
DeleteFile('c:\windows\system32\6to4v32.dll');
DeleteFile('C:\WINDOWS\system32\w.exe');
DeleteFile('C:\WINDOWS\system32\ctsrv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
09.05.2010, 08:45
DEMIDoFF

ура всех с праздником!Всем спасибо я с помощью вас одержал победу над троянами вроде

вот новые логи,карантин выслал как просили

вроде процессов лишних нет и проц не грузит никто кроме др веба
09.05.2010, 11:20
ARMA9000

Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Ipripv32.dll','');
DeleteFile('C:\WINDOWS\system32\Ipripv32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Iprip\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

Логи повторите.
09.05.2010, 13:03
thyrex

C:\PROGRA~1\StormII\oylhg.lnk - [B]Backdoor.Win32.Agent.autj[/B]

Дополнительно к совету [B]ARMA9000[/B]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GHU7KXYZ\App[1].zip','');
DeleteFile('C:\PROGRA~1\StormII\oylhg.lnk');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ias\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи + лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
10.05.2010, 11:07
DEMIDoFF

выкладываю лог комбофикс и остальные
10.05.2010, 13:03
thyrex

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::

Driver::

NetSvc::
DltsSrv
MprvSrv

Folder::

Registry::

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
10.05.2010, 18:44
DEMIDoFF

все сделал
ну наверно теперь все трояны удалены ?:>
10.05.2010, 18:56
thyrex

Еще чуток потерпите ;)

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::

Driver::

Folder::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"DltsSrv"=-
"MprvSrv"=-

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
10.05.2010, 19:27
DEMIDoFF

спасибо конечно потерплю
PS:готово
11.05.2010, 20:19
DEMIDoFF

[QUOTE=DEMIDoFF;635033]спасибо конечно потерплю
PS:готово[/QUOTE]
есть еще с кем воевать то или последних добили троянов?
11.05.2010, 20:30
thyrex

Порядок

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все новые патчи
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)

Показывать 40 сообщений этой темы на одной странице