Пожалуйста помогите! Очень сильно жрет трафик! Антивирус NOD 32, 3.0.566.0. При включении комппа все время находит трояна в папке
C:\WINDOWS\system32\drivers\Bjp85.sys
C:\WINDOWS\system32\drivers\Gpv63.sys
Спасибо!
Wigon Trojan
Пожалуйста помогите! Очень сильно жрет трафик! Антивирус NOD 32, 3.0.566.0. При включении комппа все время находит трояна в папке
C:\WINDOWS\system32\drivers\Bjp85.sys
C:\WINDOWS\system32\drivers\Gpv63.sys
Спасибо!
Последний раз редактировалось Lstrips; 23.07.2008 в 01:02.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Обязательно отключите восстановление системы, как написано в правилах!
Потом выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('BsMonSvr',''); QuarantineFile('C:\WINDOWS\system32\AviInfoShell.dll',''); QuarantineFile('msiconf.exe',''); QuarantineFile('autorun.bat',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Tci52.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Lsy63.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Jqw17.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\iqW53.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Iqw52.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Gpv63.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Ckq28.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Ckq06.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Bjp85.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\pfc027.sys',''); QuarantineFile('C:\WINDOWS\system32\WinNt32.dll',''); QuarantineFile('c:\windows\system32\pastisvc.exe',''); DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Bjp85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ckq06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ckq28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Gpv63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Iqw52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\iqW53.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Jqw17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Lsy63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Tci52.sys'); DeleteFile('C:\WINDOWS\system32\msiconf.exe'); DelWinlogonNotifyByKeyName('WinNt32'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Tci52'); BC_DeleteSvc('Gpv63'); BC_DeleteSvc('Ckq28'); BC_DeleteSvc('Ckq06'); BC_DeleteSvc('Bjp85'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Lsy63'); BC_DeleteSvc('Jqw17'); BC_DeleteSvc('iqW53'); BC_DeleteSvc('Iqw52'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24205 ).
Очистите карантин DrWeb, временные папки и кеш браузера.
Сделайте новые логи.
Последний раз редактировалось kps; 07.06.2008 в 22:29.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Все сделал!!!
Последний раз редактировалось Lstrips; 23.07.2008 в 01:02.
Я так понимаю, что все выличилось!!! Большое вам спасибо!!!!!
Далеко не все вылечилосьСообщение от Lstrips
Пофиксите
Выполните скриптКод:F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat O4 - HKCU\..\Run: [msiconf.exe] msiconf.exe O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
После перезагрузки закачайте карантин по красной ссылке вверху темы, повторите 3 лога.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Cjp28'); QuarantineFile('msiconf.exe',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Cjp28.sys',''); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('autorun.bat',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winho41.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\Winho41.sys'); DeleteFile('autorun.bat'); DeleteFile('WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Cjp28.sys'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('msiconf.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Все сделал!
Последний раз редактировалось Lstrips; 23.07.2008 в 01:02.
Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Winho41.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\Winho41.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Winho41.sys'); DelWinlogonNotifyByKeyName('WinCtrl32'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил и скопированный Вами в IceSword файл в архиве с паролем virus (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24205 ). .
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Вот блин словил на свою голову.
Последний раз редактировалось Lstrips; 23.07.2008 в 01:02.
Главный руткит удален, почистим мусор в реестре:
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin DelWinlogonNotifyByKeyName('WinCtrl32'); DeleteFile('C:\WINDOWS\System32\Drivers\Winho41.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Winho41'); BC_Activate; RebootWindows(true); end.
Сделайте новые логи.
По поводу Вашего карантина подождем ответа вирлаба...
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Все сделано. Теперь я думаю что все?
Последний раз редактировалось Lstrips; 23.07.2008 в 01:02.
Ответ по поводу Вашего карантина пришел, теперь подозрения с некоторых файлов сняты.
В логах кристально чисто.
Какие-то проблемы остались?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Трафик так быстро как раньше не уходит, можно сказать что стоит на месте. Более точно могу сказать через какое-то время. Больше никаких проблем не вижу. Огромное вам спасибо. Если бы не вы пришлось бы сносить систему. СПАСИБО!!!!
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Было:
Trojan-Dropper.Win32.Agent.shb
WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.ado
Rootkit.Win32.Podnuha.y
Trojan-Downloader.Win32.Mutant.yq
Trojan-Downloader.Win32.Mutant.acm
Trojan-Downloader.Win32.Mutant.adh
Последний раз редактировалось Alex_Goodwin; 10.06.2008 в 10:27.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Уважаемый(ая) Lstrips, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
