Подцепил в Интернете,вероятно,Трояна.Среди базовых появился процесс cpl32ver,Кюр ит и Авз не определяют вирус,но сигнализируют о непонятных процессах.Стал стремительно убегать трафф!Прошу помощи специалистов!
Подцепил в Интернете,вероятно,Трояна.Среди базовых появился процесс cpl32ver,Кюр ит и Авз не определяют вирус,но сигнализируют о непонятных процессах.Стал стремительно убегать трафф!Прошу помощи специалистов!
Последний раз редактировалось Jekon; 11.04.2009 в 23:30.
Нарушения правил при сборе информации для раздела Помогите.
- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\System32\Drivers\Ubg51.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Cpl32ver.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Ubg51.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Ubg51.sys',''); QuarantineFile('c:\windows\system32\cpl32ver.exe',''); DeleteService('Ubg51'); DeleteFile('c:\windows\system32\cpl32ver.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\Ubg51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ubg51.sys'); DeleteFile('C:\WINDOWS\System32\Cpl32ver.exe'); DeleteFile('C:\Documents and Settings\Admin\DoctorWeb\Quarantine\A0035763.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Ubg51'); SetAVZPMStatus(true); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи п. 2 и 3 Диагностики.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.
В процессе выполнения вылезла еще одна серьезная проблема,после скрипта в АВЗ и перезагрузки прицепилкась прога АнтивирусХР2008 и начала просить лицензию,удаление блокируется,блокируется рабочий стол и даже для доступа на интернетн страницу требуется регистрация этой проги.Программа сама включает восстановление системы,после моего отключения.Сидит в паке с непонятным названием rhcgmej0ej6l.Базы АВЗ обновил
Последний раз редактировалось Jekon; 11.04.2009 в 23:30.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\pphclmej0ej6l.exe',''); QuarantineFile('C:\WINDOWS\system32\dvopzy.dll',''); QuarantineFile('\systemroot\system32\drivers\TDSSserv.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\TDSSserv.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); DeleteService('tcpsr'); QuarantineFile('C:\WINDOWS\system32\blphclmej0ej6l.scr',''); QuarantineFile('dvopzy.dll',''); QuarantineFile('C:\WINDOWS\system32\lphclmej0ej6l.exe',''); DeleteFile('C:\WINDOWS\system32\lphclmej0ej6l.exe'); DeleteFile('dvopzy.dll'); DeleteFile('C:\WINDOWS\system32\blphclmej0ej6l.scr'); DeleteFile('C:\Program Files\rhcgmej0ej6l\rhcgmej0ej6l.exe'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\system32\drivers\TDSSserv.sys'); DeleteFile('\systemroot\system32\drivers\TDSSserv.sys'); DeleteFile('C:\WINDOWS\system32\dvopzy.dll'); DeleteFile('C:\WINDOWS\system32\pphclmej0ej6l.exe'); BC_ImportAll; ExecuteSysClean; executerepair(5); executerepair(6); executerepair(8); RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper',''); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи п. 2 и 3 Диагностики.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.
Не помогает!Высылаю логи и закачиваю карантин.Погорячился вроде эффект есть,но после перезагрузки опять появилось окно поиска каких-то новых устройств.Выход траффа вроде остановлен,но прошу проверить все ли нормально!Заранее спасибо
Последний раз редактировалось Jekon; 11.04.2009 в 23:30.
-Пофиксите
С точки зрения логов - у Вас чисто.Код:O20 - Winlogon Notify: dvopzy - C:\WINDOWS\
Попробуйте порыть в направление Мастер поиска и устранения проблем в АВЗ.
Спасибо,вроде все нормально теперь!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\doctorweb\\quarantine\\a0035763.e xe - not-a-virus:WebToolbar.Win32.BitAccelerator.e (DrWEB: archive: Trojan.BitAcc)
- c:\\windows\\system32\\blphclmej0ej6l.scr - Trojan.Win32.FraudPack.ijv (DrWEB: Trojan.Fakealert.1321)
- c:\\windows\\system32\\cpl32ver.exe - Trojan.Win32.Agent.adzf (DrWEB: BackDoor.Bulknet.239)
- c:\\windows\\system32\\dvopzy.dll - Backdoor.Win32.Hijack.w (DrWEB: BackDoor.JackBot.3)
- c:\\windows\\system32\\lphclmej0ej6l.exe - Backdoor.Win32.Frauder.fb (DrWEB: Trojan.Packed.63
- c:\\windows\\system32\\pphclmej0ej6l.exe - not-a-virus:FraudTool.Win32.XPAntivirus.qj (DrWEB: Trojan.Fakealert.1264)
Уважаемый(ая) Jekon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.