-
Junior Member
- Вес репутации
- 59
Вирусы.Трафик уходит,помогите!
Пожалуйста помогите.Тема такая : прри подключении к инету появляются какие то вирусы (bn2.tmp bna.tmp bn..tmp Hov75.sys и другие).Хотя антивирусом удалял их,но они снова появляются.В инете всё тормозит.Постоянно что то качается,уходит трафик,хотя я ничего не делаю.В диспетчере задач появляется ещё процесс svchost.exe.Я этот процесс завершал,скачка в инете прекращалась секунд на 10 и потом снова появляется этот процесс и начинается снова какая то скачка.Уже потерял много тафика.Пожалуйста помогите.Please...
Последний раз редактировалось Danzzzik; 10.01.2011 в 21:45.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Почти все ,что можно было поймать - поймали.
Профиксить:
Код:
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll (file missing)
O2 - BHO: C:\WINDOWS\system32\jkd845jg.dll - {B5AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jkd845jg.dll (file missing)
O2 - BHO: C:\WINDOWS\system32\d4ghggf4g.dll - {B5AF0562-94F3-42BD-F434-2604812C297D} - C:\WINDOWS\system32\d4ghggf4g.dll (file missing)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll (file missing)
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)
O22 - SharedTaskScheduler: sdf4dr4gfdgeetj - {B5AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jkd845jg.dll (file missing)
O22 - SharedTaskScheduler: JGhjddf9dtj - {B5AF0562-94F3-42BD-F434-2604812C297D} - C:\WINDOWS\system32\d4ghggf4g.dll (file missing)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Отключите антивирус.
Скачайте IceSword или он у Вас уже есть и Вы его уже запускали?
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\System32\drivers\Vel53.sys и если есть - удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\hidec','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\jkd845jg.dll','');
QuarantineFile('C:\WINDOWS\system32\d4ghggf4g.dll','');
QuarantineFile('C:\Downloads\Архивы\Logons\Logons\Aria3.Exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('C:\DOCUME~1\1F50~1\LOCALS~1\Temp\winsto.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\Ygo64.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Ygn86.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Xho64.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Sah31.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Pxf06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pwe07.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Ovd86.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Nuc20.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nuc18.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Ipw20.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Hov20.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Gov75.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Aho53.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\HIDKbFlt.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Vel53.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
QuarantineFile('c:\program files\yandex\online\online.exe','');
QuarantineFile('c:\progra~1\slunak~1\kxt01kb.exe','');
DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Vel53.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Aho53.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Gov75.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Hov20.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Ipw20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nuc18.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Nuc20.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Ovd86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pwe07.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Pxf06.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Sah31.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xho64.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Ygn86.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Ygo64.sys');
DeleteFile('C:\DOCUME~1\1F50~1\LOCALS~1\Temp\winsto.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\d4ghggf4g.dll');
DeleteFile('C:\WINDOWS\system32\jkd845jg.dll');
DeleteFile('WLCtrl32.dll');
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
DelBHO('{B5AF0562-94F3-42BD-F434-2604812C297D}');
DelBHO('{B5AC49A2-94F3-42BD-F434-2604812C897D}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Ygo64');
BC_DeleteSvc('Ygn86');
BC_DeleteSvc('Xho64');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Sah31');
BC_DeleteSvc('Pxf06');
BC_DeleteSvc('Pwe07');
BC_DeleteSvc('Ovd86');
BC_DeleteSvc('Nuc20');
BC_DeleteSvc('Nuc18');
BC_DeleteSvc('Ipw20');
BC_DeleteSvc('Hov20');
BC_DeleteSvc('Gov75');
BC_DeleteSvc('ctl_w32');
BC_DeleteSvc('Aho53');
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21643 ).
Деинсталлируйте ConnectionServices и BitAccelerator, это гадость.
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 59
Ураааааа!Кажется получилось.С П А С И Б О ВАМ ДОБРЫЕ ЛЮДИ !!!
Вы гении.
-
-
Junior Member
- Вес репутации
- 59
-
Junior Member
- Вес репутации
- 59
Всё сделал как вы и написали.Вот новые логи.
Последний раз редактировалось Danzzzik; 10.01.2011 в 21:45.
-
Junior Member
- Вес репутации
- 59
У меня вопросик - У меня обнаружилась троянская программа(Backdoor.Win32.IRCBot.cqu).Описание этой программы нету в энциклопедии вирусов.Это может из-за того что в этой проге много скрипта?
-
Пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
Выполните скрипт в AVZ:
Код:
begin
BC_DeleteSvc('Ryg74');
BC_DeleteSvc('Hov75');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Hov75.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Ryg74.sys');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
-
-
Сообщение от
Danzzzik
У меня вопросик - У меня обнаружилась троянская программа(Backdoor.Win32.IRCBot.cqu).Описание этой программы нету в энциклопедии вирусов.Это может из-за того что в этой проге много скрипта?
Где и кто обнаружи, что за программа? Логи того, кто обнаружил, желательно в студию.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
троянская программа (Backdoor.Win32.IRCBot.cqu) обнаружилась Касперским,постоянно ругается на этот файл,а AVZ никак не реагирует на его.Сегодня запускал тот файл,процесс называется NoName-3.2.exe/Использую в одной игре.Я сделал его как доверенное приложение,чтобы больше его не проверяло.Мне кажется из -за того что в этой проге много скрипта.Не знаю.Вот сейчас сделал новые логи.
Последний раз редактировалось Danzzzik; 10.01.2011 в 21:45.
-
Этот файл пришлите нам на проверку в архиве с паролем virus сюда: http://virusinfo.info/upload_virus.php?tid=21643
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
kps
Файл отправил на проверку
-
NoName-2.3.exe_
Это ложное срабатывание.
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Гриша
NoName-2.3.exe_
Это ложное срабатывание.
Спасибо.Значит всё нормуль.
-
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 70
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Agent.kio (DrWEB: Trojan.Setupapi)
- c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.nb (DrWEB: Trojan.DownLoader.57335)
-
