Junior Member
Вес репутации
53
Профилактика после излечения
Добрый день! Изначальная проблема (паразитный трафик ~ 100 МБайт/сек, меня даже провайдер отключал) мне удалось вылечить в процессе курса avz/CureIT/Hijack. После этого периодически "нападают" вирусы, иногда помногу, но экран их ловит. Однако компьютер приобрел склонность к зависанию, особенно в вечернее время. Вчера повторно провел курс, нашел два подозрительных файла. Заранее благодарю за помощь.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msansspc.dll','');
QuarantineFile('C:\WINDOWS\system32\wiaservc.dll','');
QuarantineFile('C:\WINDOWS\system32\wdigest.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxh43.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winuc64.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winuc53.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winuc20.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsy31.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsa64.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winir43.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winiq64.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfm64.sys','');
DeleteService('Winxh43');
DeleteService('Winuc64');
DeleteService('Winuc53');
DeleteService('Winuc20');
DeleteService('Winsy31');
DeleteService('Winsa64');
DeleteService('Winjp41');
DeleteService('Winir43');
DeleteService('Winiq64');
DeleteService('Winfm64');
QuarantineFile('C:\WINDOWS\dfgf.exe','');
DeleteService('vdgf');
DeleteService('UPShelpsvc');
DeleteService('SysmonLogose');
QuarantineFile('C:\WINDOWS\ddxx.exe','');
DeleteService('sx');
DeleteService('srserviceRDSessMgr');
DeleteService('SQLAgent$MICROSOFTSMLBIZRemoteRegistry');
DeleteService('ShellHWDetectionRemoteRegistry');
QuarantineFile('C:\WINDOWS\system32\txwacq.exe','');
DeleteService('RpcSsMSSQLServerADHelper');
DeleteService('PlugPlayS24EventMonitor');
DeleteService('NtmsSvcsrservice');
DeleteService('NetlogonSPIDERNT');
DeleteService('MSDTCBITS');
DeleteService('mnmsrvcTlntSvr');
DeleteService('MessengerSQLAgent$MICROSOFTSMLBIZ');
DeleteService('Messengerlanmanworkstation');
DeleteService('lanmanserverSysmonLogose');
DeleteService('lanmanserverlanmanserver');
DeleteService('ERSvcAppMgmt');
DeleteService('Dhcplanmanworkstation');
DeleteService('DcomLaunchAudioSrv');
DeleteService('CVPNDLmHosts');
DeleteService('Browseraspnet_state');
QuarantineFile('C:\WINDOWS\Ayi2ere.exe','');
QuarantineFile('C:\WINDOWS\Ati2b.exe','');
DeleteService('Adobehelpsvc');
DeleteFile('C:\WINDOWS\ddxx.exe');
DeleteFile('C:\WINDOWS\dfgf.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfm64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winiq64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winir43.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjp41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsa64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsy31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuc20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuc53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuc64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxh43.sys');
DeleteFile('C:\WINDOWS\system32\msansspc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
2
Скрипт выполнен, новые логи здесь. Virus закачал по ссылке.
Выполните такой скрипт:
Код:
begin
BC_DeleteSvc('UPShelpsvc');
BC_DeleteSvc('SysmonLogose');
BC_DeleteSvc('srserviceRDSessMgr');
BC_DeleteSvc('SQLAgent$MICROSOFTSMLBIZRemoteRegistry');
BC_DeleteSvc('ShellHWDetectionRemoteRegistry');
BC_DeleteSvc('Servicev2.2');
BC_DeleteSvc('RpcSsMSSQLServerADHelper');
BC_DeleteSvc('PlugPlayS24EventMonitor');
BC_DeleteSvc('NtmsSvcsrservice');
BC_DeleteSvc('Nmiwd4xccd');
BC_DeleteSvc('NetlogonSPIDERNT');
BC_DeleteSvc('MSDTCBITS');
BC_DeleteSvc('mnmsrvcTlntSvr');
BC_DeleteSvc('MessengerSQLAgent$MICROSOFTSMLBIZ');
BC_DeleteSvc('Messengerlanmanworkstation');
BC_DeleteSvc('lanmanserverSysmonLogose');
BC_DeleteSvc('lanmanserverlanmanserver');
BC_DeleteSvc('ERSvcAppMgmt');
BC_DeleteSvc('Dhcplanmanworkstation');
BC_DeleteSvc('DcomLaunchAudioSrv');
BC_DeleteSvc('CVPNDLmHosts');
BC_DeleteSvc('Browseraspnet_state');
BC_DeleteSvc('Aty2e');
BC_DeleteSvc('Ati2bv');
BC_DeleteSvc('Adobehelpsvc');
DeleteFileMask('C:\Documents and Settings\Я\Local Settings\Temporary Internet Files\OLK24', '*.*',true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки повторите п.2 Диагностики.
Какие-то проблемы остались?
I am not young enough to know everything...
Junior Member
Вес репутации
53
Благодарю за помощь.
Сообщение от
Bratez
После перезагрузки повторите п.2 Диагностики.
Лог приложен на всякий случай.
Сообщение от
Bratez
Какие-то проблемы остались?
Нужно понаблюдать в процессе.
Вложения
Ничего плохого больше не видно.
Рекомендуется установить SP3 и последующие обновления.
I am not young enough to know everything...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 1 В ходе лечения вредоносные программы в карантинах не обнаружены