Страный Трафик!

[Анапчанен]

У меня качает и отпровляет очень большой трафик!! каспеский писал "обнаружено: потенциально опасное ПО Trojan.generic Процесс: C:\Documents and Settings\LENA\svchosts.exe" я удолял! но он качает всё равно! =( бывает не качает но потом опять! были трояны но я их удолял! помагите плиз так неващможно лазить в инете =(

ещё в папке с:/windows/temp многа файлов в виде cch~fb646447.htp ток зарные цифры и буквы после cch~... а их там 1000+++ и ещё есть bin1 2 3... они появилсь после того как ничелось это всё

[Rene-gad]

Пофиксите

Код:

O1 - Hosts: 77.239.192.55 l2testauthd.lineage2.com
O1 - Hosts: 77.239.192.55 l2authd.lineage2.com
O1 - Hosts: 77.239.192.55 nprotect.lineage2.com
O1 - Hosts: 77.239.192.55 nprotect.ncsoft.co.kr
O1 - Hosts: 77.239.192.55 update.nprotect.net
O1 - Hosts: 77.239.192.55 update.nprotect.co.kr
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - (no file)
O4 - HKLM\..\Run: [advap32] "c:\kfei8r.exe" /r
O17 - HKLM\System\CCS\Services\Tcpip\..\{82A9E37E-DD6F-47AB-A4EA-E6BD720178E4}: NameServer = 213.132.64.82,213.132.67.110
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Wdj30');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wdj30.sys','');
 QuarantineFile('c:\kfei8r.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\hmonitor.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
 DeleteFile('c:\kfei8r.exe');
 DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wdj30.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.

После перезагрузки закачайте карантин по красной ссылке вверху темы, повторите 3 лога.
После лечения обновите Джава

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_14\bin\ssv.dll

[Анапчанен]

извените я не понел, как сдеать 3 лога? снова использовать скрипты?
и как обнавить джаву?) скачать новую?

[Rene-gad]

икак сдеать 3 лога?

так же, как Вы это уже сделали при открытии темы.

снова использовать скрипты?

Почему снова? Вы должны пофиксить и выполнить мой скрипт. После перезагрузки Вы должны повторить шаги 8-13 правил

и как обнавить джаву?) скачать новую?

Да, но это - потом. Сначала - фиксить, скрипт и новые логи.

[PavelA]

@Rene-gad Боюсь просто скриптом не убьется. Придется, как всегда "ледяной меч" применять.

[Анапчанен]

Файл сохранён как 080529_105848_virus_483ed2b86dbd7.zip
Размер файла 14827
MD5 99d28748bd0ac4dacb3e2aaaeb5f2db3

вот карантин

щас логи делаю

[Rene-gad]

Боюсь просто скриптом не убьется. Придется, как всегда "ледяной меч" применять.

Применим . Но сначала Афсянка

[Анапчанен]

вот

вроде качать перестал но вирусы есть...

[Rene-gad]

вирусы есть...

А кто Вам это сказал? В логах чисто.
Джава скачайте и установите, старую версию можно будет потом удалить через Панель управления/Приложения.
Если проблем не наблюдается, то нам было бы интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

[Анапчанен]

ну когда я проверял П.8 я аидел красным было написано вирус троян и ещё. а может удалил) ну спасиба что помогли а что вы там про леденой меч писали?

[Rene-gad]

а что вы там про леденой меч писали?

есть такая тулза IceSword, применяемая для борьбы с руткитами. Если бы нам не удалось удалить зловреда скриптом, можно и нужно было бы попробовать ею.
Очень прошу с ней никаких экспериментов не проводить

[Анапчанен]

а что вы скажете насчёт файлов в папке C:/WINDOWS/Temp они севоднешней даты их мноога 1000++ типа cch~47bb19fd4.htp cch~47bb17a76.htp cch~47bb220ac.htp они неудоляются, пишет ошибку.

[Rene-gad]

а что вы скажете насчёт файлов в папке C:/WINDOWS/Temp они севоднешней даты их мноога 1000++ типа cch~47bb19fd4.htp cch~47bb17a76.htp cch~47bb220ac.htp они неудоляются, пишет ошибку

Они м.б. задействованы в сессии> Посмотрите еще тут справку. Если что - загрузитесь в безопасном режиме и почистите от временных файлов, как описано в справке.

[Анапчанен]

спасиба вам) отзыв написал) буду читать книгу)

[PavelA]

Извините за мое мсж, м.б. оно смутило Вас. Малваре разные бывают иногда "оффсянка" не помогает.