Улет трафика неизвестно куда...

[censored]

Здравствуйте. В последнее время сразу же при подключении к интернету стала идти большая нагрузка на процессор, а трафик кончаться даже если интернет просто включен. С помощью программы ProcessExplorer выяснил что при подключении к инету появляются 2 процесса svchost.exe и именно от этих 2 процессов идет нагрузка, при уничтожении процессов все стает на свои места и трафик не уходит.

[Rene-gad]

Скачайте последнюю версию Хайджека по ссылке в правилах.

Скачайте IceSword , поищите и удалите через опцию force delete файл:

Код:

C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\System32\Drivers\Winej72.sys

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Winye83');
 DeleteService('Winua50');
 DeleteService('Winsx04');
 DeleteService('Winqv15');
 DeleteService('Winpu72');
 DeleteService('Winns48');
 DeleteService('Winns04');
 DeleteService('Winmr51');
 DeleteService('Wingl05');
 DeleteService('Wingl04');
 DeleteService('AppMgmtSpooler');
 DeleteService('CiSvcdmadmin');
 DeleteService('COMSysAppALG');
 DeleteService('CryptSvcSharedAccess');
 DeleteService('CryptSvcSharedAccessPmlWmdmPmSN');
 DeleteService('CryptSvcSharedAccesswinmgmtwuauservVSSERSvcNetman');
 DeleteService('DhcpClipSrv');
 DeleteService('DhcpSCardSvrDhcpClipSrv');
 DeleteService('dmserverShellHWDetection');
 DeleteService('DnscacheWMPNetworkSvcRasManUPSWudfSvcupnphost');
 DeleteService('ERSvcMessenger');
 DeleteService('ERSvcMessengerCOMSysApp');
 DeleteService('ERSvcNBService');
 DeleteService('FastUserSwitchingCompatibilitySpooler');
 DeleteService('FLEXnetNetlogon');
 DeleteService('helpsvcRasManUPSSharedAccess');
 DeleteService('ImapiService Driver HPZ12');
 DeleteService('LmHostsNetDDEdmadmin');
 DeleteService('MessengerCOMSysApp');
 DeleteService('MicrosoftRasManUPS');
 DeleteService('NBServiceNetDDE');
 DeleteService('NetDDEdmadmin');
 DeleteService('NetDDEdsdm Service');
 DeleteService('NetDDEdsdmMicrosoftRasManUPS');
 DeleteService('NtLmSspWudfSvcDnscache');
 QuarantineFile('srv.exe','');
 DeleteService('oseSCardSvr');
 DeleteService('PlugPlay Driver HPZ12');
 DeleteService('PlugPlayPlugPlay');
 DeleteService('PlugPlayPlugPlayWmiApSrv');
 DeleteService('PlugPlayVSS');
 DeleteService('PmlCryptSvc');
 DeleteService('PmlEventlog');
 DeleteService('PmlWmdmPmSN');
 DeleteService('PmlWudfSvcAVPNtmsSvcMessengerCOMSysApp');
 DeleteService('RasManNetDDEdmadmin');
 DeleteService('RasManUPS');
 DeleteService('RasManUPSSharedAccess');
 DeleteService('RasManUPSWudfSvcupnphost');
 DeleteService('RemoteAccessClipSrv');
 DeleteService('RemoteAccessClipSrvWMPNetworkSvc');
 DeleteService('RemoteAccessCryptSvcSharedAccessPmlWmdmPmSN');
 DeleteService('SCardSvrDhcpClipSrv');
 DeleteService('SCardSvrDhcpClipSrvEventlog');
 DeleteService('SCardSvrERSvcMessengerCOMSysApp');
 DeleteService('seclogonPolicyAgent');
 DeleteService('SpoolerAppMgmtSpooler');
 DeleteService('srservicePlugPlayPlugPlay');
 DeleteService('SSDPSRVFastUserSwitchingCompatibility');
 DeleteService('SSDPSRVSCardSvr');
 DeleteService('stisvcRasManUPS');
 DeleteService('ThemesDhcpClipSrv');
 DeleteService('ThemesDhcpClipSrvwscsvcNtLmSspNBService');
 DeleteService('VSSERSvc');
 DeleteService('VSSERSvcNetman');
 DeleteService('VSSERSvcNetmandmadmin');
 DeleteService('VSSSwPrv');
 DeleteService('winmgmtwuauserv');
 DeleteService('winmgmtwuauservVSSERSvcNetman');
 DeleteService('WMPNetworkSvcRasManUPSWudfSvcupnphost');
 DeleteService('wscsvcNtLmSsp');
 DeleteService('wscsvcNtLmSspNBService');
 DeleteService('WudfSvcAVP');
 DeleteService('WudfSvcAVPNtmsSvc');
 DeleteService('WudfSvcAVPNtmsSvcMessengerCOMSysApp');
 DeleteService('WudfSvcDnscache');
 DeleteService('WudfSvcupnphost');
 DeleteService('WudfSvcupnphostSSDPSRV');
 DeleteService('WZCSVCSpooler');
 DeleteService('WZCSVCSpoolerseclogon');
 DeleteService('Winej72');
 QuarantineFile('srv.exe','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); 
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winej72.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wingl04.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wingl05.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winmr51.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winns04.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winns48.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winpu72.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winqv15.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winsx04.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winua50.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winye83.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winej72.sys','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('F:\autorun.inf','');
 DeleteFile('F:\autorun.inf');
 DeleteFile('D:\autorun.inf');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winej72.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winye83.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winua50.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winsx04.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winqv15.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winpu72.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winns48.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winns04.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winmr51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingl05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingl04.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winej72.sys');
 DeleteFile('srv.exe');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('Winye83');
 BC_DeleteSvc('Winua50');
 BC_DeleteSvc('Winsx04');
 BC_DeleteSvc('Winqv15');
 BC_DeleteSvc('Winpu72');
 BC_DeleteSvc('Winns48');
 BC_DeleteSvc('Winns04');
 BC_DeleteSvc('Winmr51');
 BC_DeleteSvc('Wingl05');
 BC_DeleteSvc('Wingl04');
 BC_DeleteSvc('AppMgmtSpooler');
 BC_DeleteSvc('CiSvcdmadmin');
 BC_DeleteSvc('COMSysAppALG');
 BC_DeleteSvc('CryptSvcSharedAccess');
 BC_DeleteSvc('CryptSvcSharedAccessPmlWmdmPmSN');
 BC_DeleteSvc('CryptSvcSharedAccesswinmgmtwuauservVSSERSvcNetman');
 BC_DeleteSvc('DhcpClipSrv');
 BC_DeleteSvc('DhcpSCardSvrDhcpClipSrv');
 BC_DeleteSvc('dmserverShellHWDetection');
 BC_DeleteSvc('DnscacheWMPNetworkSvcRasManUPSWudfSvcupnphost');
 BC_DeleteSvc('ERSvcMessenger');
 BC_DeleteSvc('ERSvcMessengerCOMSysApp');
 BC_DeleteSvc('ERSvcNBService');
 BC_DeleteSvc('FastUserSwitchingCompatibilitySpooler');
 BC_DeleteSvc('FLEXnetNetlogon');
 BC_DeleteSvc('helpsvcRasManUPSSharedAccess');
 BC_DeleteSvc('ImapiService Driver HPZ12');
 BC_DeleteSvc('LmHostsNetDDEdmadmin');
 BC_DeleteSvc('MessengerCOMSysApp');
 BC_DeleteSvc('MicrosoftRasManUPS');
 BC_DeleteSvc('NBServiceNetDDE');
 BC_DeleteSvc('NetDDEdmadmin');
 BC_DeleteSvc('NetDDEdsdm Service');
 BC_DeleteSvc('NetDDEdsdmMicrosoftRasManUPS');
 BC_DeleteSvc('NtLmSspWudfSvcDnscache');
 BC_DeleteSvc('oseSCardSvr');
 BC_DeleteSvc('PlugPlay Driver HPZ12');
 BC_DeleteSvc('PlugPlayPlugPlay');
 BC_DeleteSvc('PlugPlayPlugPlayWmiApSrv');
 BC_DeleteSvc('PlugPlayVSS');
 BC_DeleteSvc('PmlCryptSvc');
 BC_DeleteSvc('PmlEventlog');
 BC_DeleteSvc('PmlWmdmPmSN');
 BC_DeleteSvc('PmlWudfSvcAVPNtmsSvcMessengerCOMSysApp');
 BC_DeleteSvc('RasManNetDDEdmadmin');
 BC_DeleteSvc('RasManUPS');
 BC_DeleteSvc('RasManUPSSharedAccess');
 BC_DeleteSvc('RasManUPSWudfSvcupnphost');
 BC_DeleteSvc('RemoteAccessClipSrv');
 BC_DeleteSvc('RemoteAccessClipSrvWMPNetworkSvc');
 BC_DeleteSvc('RemoteAccessCryptSvcSharedAccessPmlWmdmPmSN');
 BC_DeleteSvc('SCardSvrDhcpClipSrv');
 BC_DeleteSvc('SCardSvrDhcpClipSrvEventlog');
 BC_DeleteSvc('SCardSvrERSvcMessengerCOMSysApp');
 BC_DeleteSvc('seclogonPolicyAgent');
 BC_DeleteSvc('SpoolerAppMgmtSpooler');
 BC_DeleteSvc('srservicePlugPlayPlugPlay');
 BC_DeleteSvc('SSDPSRVFastUserSwitchingCompatibility');
 BC_DeleteSvc('SSDPSRVSCardSvr');
 BC_DeleteSvc('stisvcRasManUPS');
 BC_DeleteSvc('ThemesDhcpClipSrv');
 BC_DeleteSvc('ThemesDhcpClipSrvwscsvcNtLmSspNBService');
 BC_DeleteSvc('VSSERSvc');
 BC_DeleteSvc('VSSERSvcNetman');
 BC_DeleteSvc('VSSERSvcNetmandmadmin');
 BC_DeleteSvc('VSSSwPrv');
 BC_DeleteSvc('winmgmtwuauserv');
 BC_DeleteSvc('winmgmtwuauservVSSERSvcNetman');
 BC_DeleteSvc('WMPNetworkSvcRasManUPSWudfSvcupnphost');
 BC_DeleteSvc('wscsvcNtLmSsp');
 BC_DeleteSvc('wscsvcNtLmSspNBService');
 BC_DeleteSvc('WudfSvcAVP');
 BC_DeleteSvc('WudfSvcAVPNtmsSvc');
 BC_DeleteSvc('WudfSvcAVPNtmsSvcMessengerCOMSysApp');
 BC_DeleteSvc('WudfSvcDnscache');
 BC_DeleteSvc('WudfSvcupnphost');
 BC_DeleteSvc('WudfSvcupnphostSSDPSRV');
 BC_DeleteSvc('WZCSVCSpooler');
 BC_DeleteSvc('WZCSVCSpoolerseclogon');
 BC_DeleteSvc('Winej72');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.

[kps]

Важно:
Переименуйте файл IceSword.exe в game.exe, иначе он у Вас не запустится, у Вас куча отлачиков, в том числе для IceSword, их потом удалим.

[censored]

Важно:
Переименуйте файл IceSword.exe в game.exe, иначе он у Вас не запустится, у Вас куча отлачиков, в том числе для IceSword, их потом удалим.

спасибо сделал)

Перед выполнением скрипта выдает: Ошбика ';' expected в позиции 118:5

[Rene-gad]

спасибо сделал)

давайте без флуда. Логи - в студию, в сообщении можете отблагодарить - лучше надавить на кнопку Спасибо

[censored]

давайте без флуда. Логи - в студию, в сообщении можете отблагодарить - лучше надавить на кнопку Спасибо

Простите, но вы там недочитали) выполнить скрипт так и не удалось

[Rene-gad]

Простите, но вы там недочитали) выполнить скрипт так и не удалось

Вы позже дополнили, чем я ответил Скрипт подправил, выполняйте, плиз

[censored]

Вы позже дополнили, чем я ответил Скрипт подправил, выполняйте, плиз

аа ясн) все сделал, только не понял одного что закачать то по красной кнопке??

[Rene-gad]

аа ясн) все сделал, только не понял одного что закачать то по красной кнопке??

карантин - сюдой: http://virusinfo.info/upload_virus.php?tid=27336

[censored]

карантин - сюдой: http://virusinfo.info/upload_virus.php?tid=27336

закачал)

[Rene-gad]

IceSword , поищите и удалите через опцию force delete файл:

Код:

C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winxd48.sys

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Winxd48');
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\ytbikec.exe','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dl_','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winxd48.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winxd48.sys');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_');
 DeleteFile('C:\Program Files\Common Files\Microsoft Shared\ytbikec.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteService('Winxd48');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.

[censored]

такс сделал)

[Rene-gad]

IceSword , поищите и удалите через опцию force delete файл:

Код:

C:\WINDOWS\system32\Drivers\Winxd48.sys

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('CiSvcWmdmPmSN');
 DeleteService('RemoteAccessImapiService');
 DeleteService('Winxd48');
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\ytbikec.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winxd48.sys','');
 QuarantineFile('srv.exe','');
 DeleteFile('srv.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxd48.sys');
 DeleteFile('C:\Program Files\Common Files\Microsoft Shared\ytbikec.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winxd48.sys');
BC_DeleteFile('C:\Program Files\Common Files\Microsoft Shared\ytbikec.exe');
BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_');
BC_DeleteSvc('CiSvcWmdmPmSN');
BC_DeleteSvc('RemoteAccessImapiService');
BC_DeleteSvc('Winxd48');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.[/QUOTE]

[kps]

Еще выполните такой скрипт:

Код:

begin
ExecuteRepair(9);
RebootWindows(true);
end.

Это удалит все отладчики из реестра, после чего можете запускать IceSword под его обычным именем.

[censored]

вот, сделал)

[Rene-gad]

Скрипт от kps выполнили?
Вроде убили гада.
Файлик этот

C:\Program Files\Common Files\Microsoft Shared\ytbikec.exe

плиз поищите и закачайте по правилам (приложения 2 и 3).
Систему обновите до СП3 и ИЕ 7 поставьте.

[censored]

Скрипт от kps выполнили?
Вроде убили гада.
Файлик этот

плиз поищите и закачайте по правилам (приложения 2 и 3).
Систему обновите до СП3 и ИЕ 7 поставьте.

Спасибо большое) файлик не находит) а если систему до сп3 обновлю данные потеряются? я пользуюсь оперой, обязателен ие 7? Что из антивируса и фаирвола можете посоветовать?) заранее благодарю

[Гриша]

А визуально этот файлик попробуйте найти,запаковать с паролем "virus" и прислать по ссылке,данные не потеряются...

Антивирусы здесь http://virusinfo.info/forumdisplay.php?f=39

Стенки здесь http://virusinfo.info/forumdisplay.php?f=40

[Rene-gad]

а если систему до сп3 обновлю данные потеряются?

Почему они должны потеряться? Вы только при установке все резидентные программы выгрузите а все остальные - закройте.

я пользуюсь оперой

Зловреды об этом не энают и испольэуют слабые места непатченного ИЕ (он, как Вам известно - часть операционной системы).

Что из антивируса и фаирвола можете посоветовать?) заранее благодарю

Из файрволов - ничего -сам не пользуюсь и другим не советую. Интересно, конечно наблюдать - куда/откуда это собсно трафик течет, а как средство защиты оно не годится. Для успокоения психики достаточно Виндовс-Файрвол включить.
Насчет антивируса - надо качать и пробовать, какой систему грузить не будет. Для ориентировки: www.av-comparatives.org

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 13
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\winctrl32.dl_ - Trojan-Downloader.Win32.Mutant.atb (DrWEB: BackDoor.Bulknet.225)
  2. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.atb (DrWEB: BackDoor.Bulknet.225)
  3. d:\\autorun.inf - Worm.Win32.AutoRun.lkr
  4. f:\\autorun.inf - Worm.Win32.AutoRun.lkr