Помогите плз. Троян. Nod32 не помогает. С компа в инэт лезет левый трафик.
Помогите плз. Троян. Nod32 не помогает. С компа в инэт лезет левый трафик.
Скачайте IceSword , поищите и удалите через опцию force delete файлы:
ОтключитеКод:C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\System32\Drivers\Wingm17.sys C:\WINDOWS\System32\Drivers\Winyf41.sys
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
- Выполните скриптКод:O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing) O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll O2 - BHO: RuPass module - {954A0637-9147-4b5e-964E-9F20E58FC29D} - C:\Program Files\RuPass\RuPass.dll O4 - HKLM\..\Run: [advap32] "C:\Program Files\Opera\profile\cache4\OPR058G2.EXE" nothing/r O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\Run: [ChristmasTree] C:\DOCUME~1\598B~1\LOCALS~1\Temp\Rar$EX00.985\Christmas.exe O4 - HKCU\..\Run: [MailSkinner] c:\documents and settings\беляева\мои документы\анна\смайлы для почты\mailskinner.exe O20 - Winlogon Notify: crypt - crypts.dll (file missing) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winyf41'); DeleteService('Wingm17'); DelBHO('{954A0637-9147-4b5e-964E-9F20E58FC29D}'); DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}'); DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}'); QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll',''); QuarantineFile('crypts.dll',''); QuarantineFile('c:\documents and settings\беляева\мои документы\анна\смайлы для почты\mailskinner.exe',''); QuarantineFile('C:\DOCUME~1\598B~1\LOCALS~1\Temp\Rar$EX00.985\Christmas.exe',''); QuarantineFile('C:\Program Files\Opera\profile\cache4\OPR058G2.EXE',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf41.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm17.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\Program Files\RuPass\RuPass.dll',''); QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll',''); DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll'); DeleteFile('C:\Program Files\RuPass\RuPass.dll'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingm17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyf41.sys'); DeleteFile('C:\Program Files\Opera\profile\cache4\OPR058G2.EXE'); DeleteFile('C:\DOCUME~1\598B~1\LOCALS~1\Temp\Rar$EX00.985\Christmas.exe'); DeleteFile('crypts.dll'); DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
удалил C:\WINDOWS\system32\WinCtrl32.dll
а этих 2-х
C:\WINDOWS\System32\Drivers\Wingm17.sys
C:\WINDOWS\System32\Drivers\Winyf41.sys
почемуто не было ...
.. пофиксил ...
... Выполнил скрипт..
... почистил (по софту прошелсятоже) ...
... логи сделал - на мой взгляд все чисто
... карантин пустой
--------------------------------------------
to Rene-Gad.
Можеш объяснить как ты анализировал полученные логи и как потом получил скрипт?
А то я как "обезьяна" выполнил инструкции ничего не понимая в процессе....
+ мне в офисе (теперь) надо обязательно проверить и остальные компы (не хочу занимать чужое время на решение моих проблем.....)
Последний раз редактировалось ИгOPь; 20.07.2008 в 17:55.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
3. Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DelWinlogonNotifyByKeyName('WinCtrl32'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сердце решает кого любить... Судьба решает с кем быть...
C:\WINDOWS\system32\winsys2.exe - вот этого загрузи в карантин и отдельно одним куском пришли для проверки.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
файл положил
Странная какая-то программа это. + использует madchook.dll
Если не знаешь, что это такое и зачем используется, думаю можно ее будет удалить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) ИгOPь, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.