-
Junior Member
- Вес репутации
- 57
вирь autoit.dw
Проблема в следующем:
Комп качает трафик без участия человека так сказать.
Устанавливает беспорядочные соединения по 25 порту.
Сканировал Nod32. Нашел пару вирусов. Удалил. Но один все равно остается. autoit.dw
Его Нод видит, пишет, что изолировал (в каронтин помещает) и все, трафик по прежнему исчезает.
Последний раз редактировалось Christian; 14.01.2010 в 12:54.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте IceSword , поищите и скопируйте файлы:
Код:
c:\windows\system32\winctrl32.dll
c:\windows\system32\winctrl32.bak
c:\windows\system32\winctrl32.dl_
Скопированные с помощью IceSword файлы сохраните в карантине ..avz\quarantine\<<YYYY-MM-DD>>
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Winty38');
StopService('Winjo38');
StopService('TapiSrvVSS');
StopService('TapiSrvNtmsSvc');
StopService('stisvcSamSs');
StopService('stisvcRDSessMgr');
StopService('SamSsProtectedStorage');
StopService('RSVPodserv');
StopService('RemoteRegistryDcomLaunch');
StopService('NtLmSspMSIServer');
StopService('mnmsrvcBrowser');
StopService('MicrosoftTapiSrv');
StopService('AudioSrvVSS');
StopService('AlerterImapiService');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('weccom.exe','');
QuarantineFile('c:\windows\system32\winctrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winty38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo38.sys','');
QuarantineFile('C:\DOCUME~1\F8C2~1\LOCALS~1\Temp\wins8Iqx15dE.exe','');
DeleteService('Winty38');
DeleteService('Winjo38');
DeleteService('TapiSrvVSS');
DeleteService('TapiSrvNtmsSvc');
DeleteService('stisvcSamSs');
DeleteService('stisvcRDSessMgr');
DeleteService('SamSsProtectedStorage');
DeleteService('RSVPodserv');
DeleteService('RemoteRegistryDcomLaunch');
DeleteService('NtLmSspMSIServer');
DeleteService('mnmsrvcBrowser');
DeleteService('MicrosoftTapiSrv');
DeleteService('AudioSrvVSS');
DeleteService('AlerterImapiService');
DeleteFile('WinCtrl32.dll');
DeleteFile('weccom.exe');
DeleteFile('c:\windows\system32\winctrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjo38.sys');
DeleteFile('C:\DOCUME~1\F8C2~1\LOCALS~1\Temp\wins8Iqx15dE.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winty38');
BC_DeleteSvc('Winjo38');
BC_DeleteSvc('TapiSrvVSS');
BC_DeleteSvc('TapiSrvNtmsSvc');
BC_DeleteSvc('stisvcSamSs');
BC_DeleteSvc('stisvcRDSessMgr');
BC_DeleteSvc('SamSsProtectedStorage');
BC_DeleteSvc('RSVPodserv');
BC_DeleteSvc('RemoteRegistryDcomLaunch');
BC_DeleteSvc('NtLmSspMSIServer');
BC_DeleteSvc('mnmsrvcBrowser');
BC_DeleteSvc('MicrosoftTapiSrv');
BC_DeleteSvc('AudioSrvVSS');
BC_DeleteSvc('AlerterImapiService');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
ПС: Почему Сервис Пак 3 до сих пор не установлен?
-
-
Junior Member
- Вес репутации
- 57
Как его установить и что он дает?
Последний раз редактировалось Christian; 14.01.2010 в 12:54.
-
Смотри подпись Rene-Gad, там есть ссылка на скачивание СП3.
Это доп. защита от дырок в системе.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Winsx73');
StopService('Wingm38');
StopService('SwPrvHTTPFilter');
StopService('RemoteRegistryDcomLaunchSamSs');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsx73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm38.sys','');
DeleteService('Winsx73');
DeleteService('Wingm38');
DeleteService('SwPrvHTTPFilter');
DeleteService('RemoteRegistryDcomLaunchSamSs');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingm38.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winsx73');
BC_DeleteSvc('Wingm38');
BC_DeleteSvc('SwPrvHTTPFilter');
BC_DeleteSvc('RemoteRegistryDcomLaunchSamSs');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-