Перейти к содержанию

Зловред не даёт настроить сеть


Рекомендуемые сообщения

при попытке выставить в "Сетевые подключения" - "Подключения по локальной сети" TCP IP -Получать адрес автоматически адрес настраивается на IP 169.123.22.3 а не на 192.168.1.2 (на роутер) и в итоге нет Интернета. Подключаю роутер к другому компу - все нормально.

 

Выловил с помощью утилиты ДрВэб следующую дрянь

01.tmp C:\WINDOWS\system32 Win32.HLLW.Autoruner.5555 Удален.

alil.dll C:\WINDOWS\system32 Trojan.Packed.365 Неизлечим.Перемещен.

lumhze.dll C:\WINDOWS\system32 Win32.HLLW.Autoruner.5555 Удален.

spoolsv.exe C:\WINDOWS\system32\drivers BackDoor.IRC.Sdbot.4116 Удален.

file.exe C:\DOCUME~1\main\LOCALS~1\Temp Trojan.DownLoad.41551 Удален.

IHAA.tmp C:\DOCUME~1\main\LOCALS~1\Temp Trojan.Packed.16669 Удален.

IHAB.tmp C:\DOCUME~1\main\LOCALS~1\Temp Trojan.Packed.16669 Удален.

NTDETECT.EXE C:\ Trojan.DownLoad.41551 Удален.

svchost.exe C:\Documents and Settings\main Trojan.DownLoad.41551 Удален.

Изменено пользователем iron
Ссылка на комментарий
Поделиться на другие сайты

- Закройте/выгрузите все программы кроме Internet Explorer.

Отключите

- ПК от интернета/локальной сети.

 

- Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\35941224\35941224.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\80340520\80340520.exe','');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\80340520\80340520.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\35941224\35941224.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','80340520');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','35941224');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.

- ПК перезагрузится.

 

- Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

- Карантин отправьте на newvirus@kaspersky.com. В теле письма сообщите, что пароль на архив "virus"(без кавычек). Полученный ответ сообщите здесь.

- Сделайте новые логи.

Ссылка на комментарий
Поделиться на другие сайты

Вы увидите папку с архивом. Это - карантин.

- Карантин отправьте на newvirus@kaspersky.com. В теле письма сообщите, что пароль на архив "virus"(без кавычек). Полученный ответ сообщите здесь.

- Сделайте новые логи.

Сеть заработала! Спасибо!

Ссылка на комментарий
Поделиться на другие сайты

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\Drivers\atapi.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Проверьте систему TDSS Killer

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, предоставьте отчет утилиты

в папке с утилитой нет никакого отчета? После запуска было объявлено, что зачищены какие-то ветки в реестре и был запрос на перезагрузку. Я ответил Y комп перезагрузился, но в папке никакого лога не осталось

Ссылка на комментарий
Поделиться на другие сайты

Обновите Базы AVZ

Если вы не используете в работе данные службы отключите их

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

Ссылка на комментарий
Поделиться на другие сайты

iron, правила игры немного изменились. Карантин необходимо загрузить при помощи

Отправил.

 

Обновите Базы AVZ

Если вы не используете в работе данные службы отключите их

Обновил, отключил.

 

iron, правила игры немного изменились. Карантин необходимо загрузить при помощи

 

Пришел ответ

atapi.sys

 

Вредоносный код в файле не обнаружен.

 

bcqr00001.ini,

bcqr00002.ini

 

Файлы в процессе обработки.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...