-
Junior Member
- Вес репутации
- 49
После трояна упала скорость интернета
Надеюсь на вашу помощь) Ситуация сложная, лично для меня тем, что непонятно с чего именно начались текущие проблемы, т.к. глюки были давно. Начну в хронологическом порядке:
0) Примерно с полгода назад началось, и до прошлого месяца продолжалось следующее - через пару секунд-минут после проводного подключения к инету по роутеру (Стрим) браузеры переставаил открывать любые страницы (однако аська и Outlook по прежнему работали). Такое явление было от раза в день, до раза в неделю... антивирусы ничего не показывали, перегрев роутера тоже исключается. Закончилось тем что перешел на обычный adsl-модем (не роутер)... не знаю, имеет ли это отношение к делу, но факт есть факт. Итак, самое главное:
1) Позавчера подцепил вирус ("ваш Windows заблокирован - вы смотрели гей-порно, отправьте СМС на номер...")- вроде убрал эту хрень путем введения кода, который висит в инете. Поначалу и Службы, и Реестр, и Рабочий стол были отключены,после прогона Касперским и AVZ, а так же нескольким инструкциям из инета все более-менее включил-восстановил. Только при перезагрузке-выключении SVCHOST выдает ошибку "память не может быть written".
2) Вчера началось (не сильно), а сегодня уже очень серьезно тормозит интернет... при скорости (пусть и заявленной) в 3 Мбит, сайт Яндекса открывается с третьего-четверого раза секунд за двадцать. В инете сидеть просто нереально. AVZ показывате, что SVCHOST занимает 3333 порт, какой-то backdoor.
В общем, надеюсь на помощь знатоков. Логи прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\Downloads\winxp\I386\SVCPACK\Screens.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhi64.exe','');
QuarantineFile('C:\WINDOWS\system32\shmgrate.exe','');
QuarantineFile('C:\WINDOWS\system32\rundll32.exe','');
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\restore.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethelzzn.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('c:\windows\explorer.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
QuarantineFile('c:\windows\system32\alg.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
сделайте лог Gmer
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49
Карантин отправил (в связи с оч.маленькой сокростью вырезал оттуда 3 файла по 10Мб, они точно нормальные, просто они из дистрибутива ломаной WinXP)
Лог GMER так же прилагаю.
-
1. Откройте Блокнот и скопируйте в него текст скрипта
Код:
8vb8s8o7[1].exe -del service hqatlnfcl
8vb8s8o7[1].exe -del service hxbyzev
8vb8s8o7[1].exe -del file "C:\WINDOWS\system32\zgynj.dll"
8vb8s8o7[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hqatlnfcl"
8vb8s8o7[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hxbyzev"
8vb8s8o7[1].exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hxbyzev"
8vb8s8o7[1].exe -reboot
2. Нажмите Файл - Сохранить как
3. Выберите ту папку, где находится 8vb8s8o7[1].exe (gmer)
4. Укажите Тип файла - Все файлы (*.*)
5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить
6. Запустите cleanup.bat
ВНИМАНИЕ: Компьютер перезагрузится!!!
Сделайте новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Новый лог сделал.
После перезагрузки удалились все картинки (jpeg, gif) картинки, которые были на рабочем столе.
-
C:\WINDOWS\system32\Drivers\NDIS.sys замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DelCLSID('{18B0E5C2-99CB-11CF-AYX5-00401C648513}');
QuarantineFile('C:\Program Files\Common Files\msado210.tlb','');
DeleteService('tcpsr');
DeleteService('restore');
DeleteService('ethelzzn');
DeleteFile('C:\WINDOWS\system32\drivers\ethelzzn.sys');
DeleteFile('C:\WINDOWS\system32\drivers\restore.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhi64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 37
- В ходе лечения вредоносные программы в карантинах не обнаружены
-