кушает трафик+тормоза - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - кушает трафик+тормоза (http://forum.oszone.net/showthread.php?t=114129)

кушает трафик+тормоза

Опера сама лезет на разные сайты и улетает траф. Проверка AVPTool выявила и удалила около 20 зловредов, но поблемма осталась. Логи пока только эти есть.

Твой компьютер в сети?
Локальный прокси для чего?
Почисть кеш Оперы.

Комп не в сети. Прокси -это Slonax - прога для спутникового инета. Кеш очистил. Влогах что видно?

ruen,
Скачай утилиту и просканируй.
Сделай полные логи.
Какая у тебя DVB-карта? Просто нужно посмотреть, это она использует tcpsvcs.exe?

Спасибо за помощь, Vundofix не помогла. Но вылечить удалось по другому.
Теперь(чтобы не плодить темы) другой комп. классика жанра-"Warning. Spyware detected on your computer!"
На VI завал, и снова прошу помощи у вас.
Припомощи Ice Sword, нашёл:
WinCtrl32.dll
WinCtrl32.dl_
http://www.virustotal.com/ru/analisi...c45b0734a8cf92
Удалять не стал.
Каспер не находит, т.к зверёк на доверенном сидит.
перошу помочь.

Хочу добавить, что CureIt и мой KIS8..454 его (WinCtrl32.dll запакованный в архив) в упор не видит... А результат вирустотал, сами видите...=(

Живые есть?=) Помогите скриптом, пожалуйста.. Спасибо.

Цитата:

Цитата ruen

Живые есть? »

Живые есть, только в отпуске.
Это эпидемия какая-то. Признавайтесь, где вы его берете?
Поражено море компов.

Скачай (а, ты уже скачал, ну ладно, для других) http://www.majorgeeks.com/downloadge...daac78f0c6a417
Найди в нем файл Winvd28.sys и правой кнопкой Force Delete.

После в HijackThis поставь галку и нажми Fix checked

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

Затем в AVZ выполни скрипт

Код:

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

 QuarantineFile('C:\WINDOWS\system32\blphcetpj0e76c.scr','');

 QuarantineFile('C:\WINDOWS\System32\drivers\Winvd28.sys','');

 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');

 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');

 DeleteFile('C:\WINDOWS\System32\drivers\Winvd28.sys');

 DeleteFile('C:\WINDOWS\system32\blphcetpj0e76c.scr');

SetServiceStart('RemoteRegistry', 4);

BC_ImportAll;

ExecuteSysClean;

ExecuteRepair(5);

ExecuteRepair(6);

ExecuteRepair(8);

BC_Activate;

RebootWindows(true);

end.

после логи заново.
З.Ы.
Граждане, у кого схожая проблема, не выполняйте эти скрипты.
Они для каждого компа свои. Выкладывайте логи.

Что-то форум подглючивает.. Поправил скрипт, выполнил, спасибкО.=) Но проблеммы есть, ! опять же этот долбаный ра,, стол и пр

ruen, Новые логи нужны.
Force Delete делал?

Цитата:

Цитата ruen

Поправил скрипт, »

????

Severny, cпасибо за помощь! Раньше ответить не мог. Force Delete делал, ещё строки добавил, комп не мой, как понимаешь,- у себя я такого не допускаю=), повторных логов не могу сделать нет доступа к машине.

Цитата:

Цитата Severny

З.Ы.
Граждане, у кого схожая проблема, не выполняйте эти скрипты.
Они для каждого компа свои.

Общая инструкция по удалению WinCtrl32.dll =)

Посмотрите плз, эти логи. Карантин получился огромный. Отправили новыйвирус@касперский.ком ответа пока нет.
Авз на это заругалась C:\Documents and Settings\Gal\Local Settings\Temp\GoogleToolbarInstaller_ru.exe и ещё много на что.

Пофикси в HijackThis строку

Код:

O4 - HKUS\S-1-5-21-1078081533-492894223-1060284298-1003\..\Run: [srvreg] C:\WINDOWS\system32\srvreg.exe (User 'Gal')

В AVZ меню Сервис - Аctive Setup
удали значение

Код:

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

В AVZ меню Файл - Выполнить скрипт. Скопируй код и нажми "Запустить".

Код:

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

 QuarantineFile('C:\WINDOWS\system32\srvreg.exe','');

 QuarantineFile('C:\Documents and Settings\Gal\Local Settings\Temp\GoogleToolbarInstaller_ru.exe','');

 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');

 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');

 DeleteFile('E:\autorun.inf');

 DeleteFile('C:\Documents and Settings\Gal\Local Settings\Temp\GoogleToolbarInstaller_ru.exe');

 DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');

BC_ImportAll;

ExecuteSysClean;

 BC_DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');

BC_Activate;

RebootWindows(true);

end.

Папку карантин в AVZ запакуй и вышли в PM.
Повтори логи.

virusinfo_syscure.zip sendspace.com/file/8ht3bo
virusinfo_syscheck.zip sendspace.com/file/3ivowk

Из оставшихся проблем, только одна: некий вирус создал учётную запись, которую не получается удалить. и в трее вместо часов надпись "fool"

ruen, Вы видимо снова вставили зараженную флешку.
Выполните скрипт

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('H:\csrss.exe','');

 QuarantineFile('H:\autorun.inf','');

 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');

 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');

 DeleteFile('H:\autorun.inf');

 DeleteFile('H:\csrss.exe');

DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}  ');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip отправьте на newvirus@kaspersky.com, ответ сообщите
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Для защиты от вирусов типа autorun.inf
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.

Код:

Windows Registry Editor Version 5.00



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]

"AutoRun"=dword:00000000



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]

"*.*"=""

Дополнительно можно скачать и запустить утилиту (не забудьте подключить флешки и/или другие съемные носители) Flash Drive Disinfector - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf
Повторите логи, логи желательно выкладывать здесь.
По удалению пользователя - net user name_user /delete
Использование команды « net user »

Всё правилно, больной признался, что он подключал флешку, хотя я предупреждал, чтобы только через "шифт", и правым кликом проверял касперским.((( Новые логи. По моему, кроме мусора на Е:\, нет ничего опасного. Спасибо ещё раз! Тему можете закрывать. Буду обращаться в случае чего за консультацией, если не против.

ruen, в логах чисто, кроме кряка к FlashGet придраться не к чему

Цитата:

Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

Это видимо не выполнялось

Это после выполнения скриптов №3 и №2 сделали. А надпись из трея убрали:
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat : вместо "fool", поставили- HH:mm:ss