Junior Member
Вес репутации
58
Помогите! Компьютер постоянно что-то шлет в сеть.
С компьютера уходят огромное количество пакетов. Пакетов настолько много, что даже подвисает свич и компьютеры в локалькой сети остаются без инета, пока не выключишь этот копьютер. Антивирусы ничего не находят, файрволлы вообще не видят этих пакетов. AVZ обнаружил перехваченные функции, но каким процессом - непонятно. Помогите, пожалуйста, решить проблему!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\DOCUME~1\E25D~1\LOCALS~1\Temp\_uninstop.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
DeleteService('Wrm76');
DeleteService('Winyo66');
DeleteService('Winww11');
DeleteService('Winuf66');
DeleteService('Winql53');
DeleteService('Winoj78');
DeleteService('Winmw17');
DeleteService('Winii30');
DeleteService('Winhw06');
DeleteService('Wincr10');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('smtpdrv');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
DeleteService('protect');
DeleteService('poof');
QuarantineFile('C:\WINDOWS\system32\poof','');
QuarantineFile('C:\WINDOWS\system32\kprof','');
DeleteService('kprof');
DeleteService('kohzrbow');
QuarantineFile('C:\WINDOWS\system32\drivers\teghfixn.dat','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jjj65.sys','');
DeleteService('Jjj65');
DeleteService('Ixd44');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ixd44.sys','');
QuarantineFile('E:\Fxdrv.sys','');
QuarantineFile('C:\fwdrv.sys','');
DeleteService('FXDRV');
DeleteService('fwdrv.sys');
DeleteService('Ftej59');
QuarantineFile('Ftej59.sys','');
DeleteService('Fau65');
QuarantineFile('C:\WINDOWS\System32\drivers\Fau65.sys','');
DeleteService('docker19');
QuarantineFile('C:\WINDOWS\system32\drivers\docker19.sys','');
DeleteService('Ddd10');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ddd10.sys','');
DeleteService('ctl_w32');
QuarantineFile('C:\WINDOWS\System32\drivers\ctl_w32.sys','');
DeleteService('NtmsSvc');
DeleteService('NetmanWmiApSrv');
DeleteService('MicrosoftWmi');
DeleteService('Microsoft Internet Explorer');
DeleteService('MDM');
QuarantineFile('c:\sysybhp.exe','');
DeleteService('HidServSSDPSRV');
DeleteService('FCI');
DeleteService('BITSlanmanworkstation');
DeleteService('AlerterRemoteRegistryTapiSrv');
DeleteService('AlerterRemoteRegistry');
QuarantineFile('srv.exe','');
DeleteFile('srv.exe');
DeleteFile('c:\sysybhp.exe');
DeleteFile('C:\WINDOWS\System32\drivers\ctl_w32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ddd10.sys');
DeleteFile('C:\WINDOWS\system32\drivers\docker19.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Fau65.sys');
DeleteFile('Ftej59.sys');
DeleteFile('C:\fwdrv.sys');
DeleteFile('E:\Fxdrv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ixd44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jjj65.sys');
DeleteFile('C:\WINDOWS\system32\drivers\teghfixn.dat');
DeleteFile('C:\WINDOWS\system32\kprof');
DeleteFile('C:\WINDOWS\system32\poof');
DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincr10.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhw06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winii30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjj74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmw17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winoj78.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winql53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuf66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winww11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyo66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wrm76.sys');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\DOCUME~1\E25D~1\LOCALS~1\Temp\_uninstop.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите крантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
58
Не помогло...
Проблема так и осталась. Карантин и новые логи прикрепил.
Вложения
Сообщение от
Danila
Проблема так и осталась.
весь ваш зоопарк одним ударом не убился паочка выжила ....
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
Junior Member
Вес репутации
58
Высылаю новый карантин и логи. После чистки пропала сеть, восстановил переустановкой драйверов на сетевую карту.
Вложения
Junior Member
Вес репутации
58
Похоже проблема решена! Огромное спасибо за быструю и грамотную помощь!!!
пофиксите ...
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
больше ничего подозрительного ...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 10 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\drivers\\ndisio.sys - Rootkit.Win32.Agent.cva (DrWEB: Trojan.Spambot.3554)