ети процессы после принудительного завершения возобновляются и едят трафик а еще они вызывают ошибку генерик ност контроллер после чего инет отрубается помогите избавиться от напасти
Printable View
ети процессы после принудительного завершения возобновляются и едят трафик а еще они вызывают ошибку генерик ност контроллер после чего инет отрубается помогите избавиться от напасти
выполните скрипт
[code]
begin
QuarantineFile('c:\huadio.tmp','');
DeleteService('autorun');
DeleteFile('c:\huadio.tmp');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\2W6VFE5V\App[1].zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
установите сп3 + все обновления сделайте логи в нормальном режиме
не могу загрузить обновления на сп3 у мну нет возможности пока
подскажите скрипты какие выполнить а то ета вредная штука не исчезает.а файл карантина не влезает на вложение он весит даже после сжатия 2.47мб
[QUOTE='V_Bond;632316']сделайте логи в нормальном режиме[/QUOTE]!
+ обновите базы AVZ.
как понять в нормальном режиме?
В обычном режиме работы операционной системы. У вас логи из безопасного режима сделаны (Safe Mode)
вот логи в нормальном режиме
PS:базы обновил
др веб каждый раз верещит.. трояна удаляет, а он снова появляется и в папке систем32 добавляются папки такого плана 48GR2EDF.как мне вылечить компьютер
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\2W6VFE5V\App[1].zip','');
QuarantineFile('C:\WINDOWS\System32\ctsrv.exe','');
QuarantineFile('C:\WINDOWS\system32\WVLDFAI4GE\B7879.exe','');
QuarantineFile('c:\windows\system32\mprtsvstart.dll','');
DeleteFile('C:\WINDOWS\system32\WVLDFAI4GE\B7879.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\2W6VFE5V\App[1].zip');
DeleteService('vsrfr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
все сделал как сказано
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\w.exe','');
QuarantineFile('c:\windows\system32\ipripv32.dll','');
QuarantineFile('c:\windows\system32\6to4v32.dll','');
QuarantineFile('C:\Program Files\Microsoft Office\svchost.exe','');
QuarantineFile('C:\PROGRA~1\StormII\oylhg.lnk','');
DeleteService('vsrfr');
DeleteFile('c:\windows\system32\mprtsvstart.dll');
DeleteFile('C:\WINDOWS\system32\5MUSPM723E\B7879.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MprvSrv\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Microsoft Office\svchost.exe');
DeleteFile('c:\windows\system32\6to4v32.dll');
DeleteFile('C:\WINDOWS\system32\w.exe');
DeleteFile('C:\WINDOWS\system32\ctsrv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
вот новые логи,карантин выслал как просили
вроде процессов лишних нет и проц не грузит никто кроме др веба
Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Ipripv32.dll','');
DeleteFile('C:\WINDOWS\system32\Ipripv32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Iprip\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Логи повторите.
C:\PROGRA~1\StormII\oylhg.lnk - [B]Backdoor.Win32.Agent.autj[/B]
Дополнительно к совету [B]ARMA9000[/B]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GHU7KXYZ\App[1].zip','');
DeleteFile('C:\PROGRA~1\StormII\oylhg.lnk');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ias\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи + лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
выкладываю лог комбофикс и остальные
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
Driver::
NetSvc::
DltsSrv
MprvSrv
Folder::
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
все сделал
ну наверно теперь все трояны удалены ?:>
Еще чуток потерпите ;)
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
Driver::
Folder::
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"DltsSrv"=-
"MprvSrv"=-
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
спасибо конечно потерплю
PS:готово
[QUOTE=DEMIDoFF;635033]спасибо конечно потерплю
PS:готово[/QUOTE]
есть еще с кем воевать то или последних добили троянов?
Порядок
[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все новые патчи
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
:D всем огромное спасибо.очень помогли
[size="1"][color="#666686"][B][I]Добавлено через 44 минуты[/I][/B][/color][/size]
[QUOTE=DEMIDoFF;636031]:D всем огромное спасибо.очень помогли[/QUOTE]
почемуто при свертывании открытой папки она не отображается.. последствия троянов? или просто системный глюк перезагрузка не помогает:(
[QUOTE='DEMIDoFF;636031']при свертывании открытой папки она не отображается.. [/QUOTE]SP3 установили?
[QUOTE=AndreyKa;636614]SP3 установили?[/QUOTE]
да
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\localservice\local settings\temporary internet files\content.ie5\2w6vfe5v\app[1].zip - [B]Net-Worm.Win32.Kolab.iej[/B] ( DrWEB: Trojan.MulDrop1.17769, BitDefender: Generic.Malware.WX!.12645160 )[*] c:\documents and settings\localservice\local settings\temporary internet files\content.ie5\2w6vfe5v\app[2].zip - [B]Net-Worm.Win32.Kolab.ifm[/B] ( BitDefender: Generic.Malware.WX!.03CBE621 )[*] c:\program files\stormii\oylhg.lnk - [B]Backdoor.Win32.Agent.autj[/B] ( DrWEB: Trojan.Siggen1.29386, AVAST4: Win32:Redosdru-M [Trj] )[*] c:\progra~1\stormii\oylhg.lnk - [B]Backdoor.Win32.Agent.autj[/B] ( DrWEB: Trojan.Siggen1.29386, AVAST4: Win32:Redosdru-M [Trj] )[*] c:\windows\system32\ctsrv.exe - [B]Backdoor.Win32.Hupigon.ktrj[/B] ( DrWEB: BackDoor.Pigeon.45938, BitDefender: GenPack:Backdoor.Hupigon.YSM, AVAST4: Win32:Hupigon-CES [Trj] )[*] c:\windows\system32\ipripv32.dll - [B]Backdoor.Win32.Agent.asgl[/B] ( DrWEB: BackDoor.Siggen.18571, BitDefender: Backdoor.Generic.327075, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\mprtsclib.exe - [B]Net-Worm.Win32.Kolab.iej[/B] ( DrWEB: Trojan.MulDrop1.17769, BitDefender: Generic.Malware.WX!.12645160 )[*] c:\windows\system32\mprtsvstart.dll - [B]Trojan-Downloader.Win32.Agent.dobr[/B] ( DrWEB: Trojan.DownLoad1.58368, BitDefender: DeepScan:Generic.Peed.A79C4B46, AVAST4: Win32:Malware-gen )[/LIST][/LIST]