Показано с 1 по 8 из 8.

Трафик (заявка № 64581)

  1. #1
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    37
    Вес репутации
    58

    Exclamation Трафик

    Компьютер жрёт трфик с офигенной скоростью.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Восстановление системы отключить.

    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('fs', 4);
     SetServiceStart('Aetrsx', 4);
     DeleteService('Aetrsx');
     DeleteService('fs');
     QuarantineFile('C:\WINDOWS\system32\mcgrx.dll','');
     QuarantineFile('C:\WINDOWS\system32\RumbtoC.dll','');
     QuarantineFile('C:\WINDOWS\msdnc4.exe','');
     QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('c:\windows\system32\rumbtoc.dll','');
     QuarantineFile('c:\windows\system32\ptsrunsrv.dll','');
     QuarantineFile('c:\windows\system32\mcgrx.dll','');
     QuarantineFile('c:\windows\resdx.exe','');
     TerminateProcessByName('c:\windows\resdx.exe');
     QuarantineFile('c:\windows\avx.exe','');
     TerminateProcessByName('c:\windows\avx.exe');
     DeleteFile('c:\windows\avx.exe');
     DeleteFile('c:\windows\resdx.exe');
     DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winlogon.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Firewall auto setup');
     DeleteFile('C:\WINDOWS\msdnc4.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','System');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Обновите базы avz,
    Сделайте новые логи.

  4. #3
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    37
    Вес репутации
    58
    Файл сохранён как 091223_084354_virus_4b31ae1a3269a.zip
    Размер файла 257630
    MD5 742ade5c5475d6a8ad61fd90ee96bfc5

    AVZ наконец-то благополучно обновилась.
    Логи чуть-чуть позже

  5. #4
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    37
    Вес репутации
    58
    Попробовал выполнить скрипт "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" - подключился к интернету, комп сожрал все деньги на счету секунд за 10 (скорость подключения до 100Mbs не безлимит ).
    Посему, к сожалению выполняю скрипт с отключенным интернетом.

    Безопасный режим не грузиться. Во время работы CureIT вылетает ошибка, что IE966.exe выполнило недопустимую операцию, и будет закрыто. Потом Cure говорит, что были обнаружены вирусы, убраны в карантин и содан лог, котоые можно посмотреть по пути С:\и.т.д.
    Но в папке ничего нет. Карантин пустой, лог от дветысячи лохматого года.
    Последний раз редактировалось TOsha; 23.12.2009 в 10:21. Причина: добавлено

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    "Пофиксите" в HijackThis
    Код:
    O20 - AppInit_DLLs: ss12C40088dll.dll,ar12A40097dll.dll,ss12B60095dll.dll,ss12D30002dll.dll,ss12D50000dll.dll,ss12C704dll.dll,ar12A80099dll.dll,ss12D40000dll.dll,ss12A70096dll.dll,ar12B3010dll.dll,ss12D004dll.dll
    O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
    O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)
    O21 - SSODL: 446109 - {5A041F13-A111-12B0-B0CF-F99818AA68A5} - C:\WINDOWS\system32\ss12D004dll.dll
    O21 - SSODL: 454593 - {5A041F13-A111-12A4-B0CF-F99818AA68A5} - C:\WINDOWS\system32\ar12A40097dll.dll
    O21 - SSODL: 466296 - {5A041F13-A111-12B6-B0CF-F99818AA68A5} - C:\WINDOWS\system32\ss12B60095dll.dll
    O21 - SSODL: 475250 - {5A041F13-A111-12B0-B0CF-F99818AA68A5} - C:\WINDOWS\system32\ss12D004dll.dll
    O21 - SSODL: 493343 - {5A041F13-A111-12B0-B0CF-F99818AA68A5} - C:\WINDOWS\system32\ss12D004dll.dll
    O21 - SSODL: 503343 - {5A041F13-A111-12A8-B0CF-F99818AA68A5} - C:\WINDOWS\system32\ar12A80099dll.dll
    O21 - SSODL: 522296 - {5A041F13-A111-12B0-B0CF-F99818AA68A5} - C:\WINDOWS\system32\ss12D004dll.dll
    O21 - SSODL: 532812 - {5A041F13-A111-12B3-B0CF-F99818AA68A5} - C:\WINDOWS\system32\ar12B3010dll.dll
    O21 - SSODL: 89687 - {5A041F13-A111-12B6-B0CF-F99818AA68A5} - C:\WINDOWS\system32\ss12B60095dll.dll
    O21 - SSODL: 163812 - {5A041F13-A111-12B0-B0CF-F99818AA68A5} - C:\WINDOWS\system32\ss12D004dll.dll

    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     DelBHO('{5A041F13-A111-12B6-B0CF-F99818AA68A5}');
     DelBHO('{5A041F13-A111-12B3-B0CF-F99818AA68A5}');
     DelBHO('{5A041F13-A111-12B0-B0CF-F99818AA68A5}');
     DelBHO('{5A041F13-A111-12A8-B0CF-F99818AA68A5}');
     DelBHO('{5A041F13-A111-12A4-B0CF-F99818AA68A5}');
     QuarantineFile('C:\WINDOWS\system32\dllcache\lsasvc.dll','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SH4A98EP\15[1].exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OT6FWLY7\16[1].exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CTQ7OXMN\17[1].exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\P6I4XDJV\scanner[1].zip','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\C56ZS16J\scanner[1].zip','');
     QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
     QuarantineFile('c:\windows\system32\usnadjuxramkftn.dll','');
     QuarantineFile('c:\windows\system32\userrunsrv.dll','');
     QuarantineFile('C:\WINDOWS\system32\t329087.dll','');
     QuarantineFile('C:\WINDOWS\system32\t320046.dll','');
     QuarantineFile('C:\WINDOWS\system32\ss12D50000dll.dll','');
     QuarantineFile('C:\WINDOWS\system32\ss12D40000dll.dll','');
     QuarantineFile('C:\WINDOWS\system32\ss12D30002dll.dll','');
     QuarantineFile('C:\WINDOWS\system32\ss12D004dll.dll','');
     QuarantineFile('C:\WINDOWS\system32\ss12C40088dll.dll','');
     QuarantineFile('C:\WINDOWS\system32\ss12B60095dll.dll','');
     QuarantineFile('C:\WINDOWS\system32\ss12A70096dll.dll','');
     QuarantineFile('C:\WINDOWS\system32\kb923133035.dll','');
     QuarantineFile('C:\WINDOWS\system32\kb823133045.dll','');
     QuarantineFile('C:\WINDOWS\system32\kb1823133024.dll','');
     QuarantineFile('C:\WINDOWS\System32\IMM32.DLL','');  // Посмотреть карантин
     QuarantineFile('C:\WINDOWS\system32\cryptcom.dll',''); // Посмотреть карантин
     QuarantineFile('c:\windows\system32\baqkzfoguyr.dll','');
     QuarantineFile('C:\WINDOWS\system32\ar12B3010dll.dll','');
     QuarantineFile('C:\WINDOWS\system32\ar12A40097dll.dll','');
     QuarantineFile('C:\WINDOWS\system32\acpi24.ocx','');
     QuarantineFile('C:\WINDOWS\system32\acpi24.dll','');
     TerminateProcessByName('c:\windows\system32\h44fflmvdn\p001.exe');
     QuarantineFile('c:\windows\system32\h44fflmvdn\p001.exe','');
     TerminateProcessByName('c:\windows\system32\h44fflmvdn\m001.exe');
     QuarantineFile('c:\windows\system32\h44fflmvdn\m001.exe','');
     TerminateProcessByName('c:\windows\system32\lcbxv.exe');
     QuarantineFile('c:\windows\system32\lcbxv.exe','');
     TerminateProcessByName('c:\windows\system32\hedsv4qjwr\d001.exe');
     QuarantineFile('c:\windows\system32\hedsv4qjwr\d001.exe','');
     TerminateProcessByName('c:\windows\ati2ezz.exe');
     QuarantineFile('c:\windows\ati2ezz.exe','');
     DeleteFile('c:\windows\ati2ezz.exe');
     DeleteFile('c:\windows\system32\hedsv4qjwr\d001.exe');
     DeleteFile('c:\windows\system32\lcbxv.exe');
     DeleteFile('c:\windows\system32\h44fflmvdn\m001.exe');
     DeleteFile('c:\windows\system32\h44fflmvdn\p001.exe');
     DeleteFile('C:\WINDOWS\system32\acpi24.dll');
     DeleteFile('C:\WINDOWS\system32\acpi24.ocx');
     DeleteFile('C:\WINDOWS\system32\ar12A40097dll.dll');
     DeleteFile('C:\WINDOWS\system32\ar12A80099dll.dll');
     DeleteFile('C:\WINDOWS\system32\ar12B3010dll.dll');
     DeleteFile('c:\windows\system32\baqkzfoguyr.dll');
     DeleteFile('C:\WINDOWS\system32\kb1823133024.dll');
     DeleteFile('C:\WINDOWS\system32\kb823133045.dll');
     DeleteFile('C:\WINDOWS\system32\kb923133035.dll');
     DeleteFile('C:\WINDOWS\system32\ss12A70096dll.dll');
     DeleteFile('C:\WINDOWS\system32\ss12B60095dll.dll');
     DeleteFile('C:\WINDOWS\system32\ss12C40088dll.dll');
     DeleteFile('C:\WINDOWS\system32\ss12C704dll.dll');
     DeleteFile('C:\WINDOWS\system32\ss12D004dll.dll');
     DeleteFile('C:\WINDOWS\system32\ss12D30002dll.dll');
     DeleteFile('C:\WINDOWS\system32\ss12D40000dll.dll');
     DeleteFile('C:\WINDOWS\system32\ss12D50000dll.dll');
     DeleteFile('C:\WINDOWS\system32\t320046.dll');
     DeleteFile('C:\WINDOWS\system32\t329087.dll');
     DeleteFile('c:\windows\system32\userrunsrv.dll');
     DeleteFile('c:\windows\system32\usnadjuxramkftn.dll');
     DeleteFile('C:\WINDOWS\system32\regedit32.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{5A041F13-A111-12A4-B0CF-F99818AA68A5}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','454593');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{5A041F13-A111-12A8-B0CF-F99818AA68A5}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','503343');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{5A041F13-A111-12B3-B0CF-F99818AA68A5}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','532812');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AuduoServic\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{5A041F13-A111-12B6-B0CF-F99818AA68A5}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','466296');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','89687');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{5A041F13-A111-12B0-B0CF-F99818AA68A5}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','446109');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','475250');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','493343');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','522296');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','163812');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\UserPSrv\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\asp.net-Stat\Parameters','ServiceDll');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\C56ZS16J\scanner[1].zip');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\P6I4XDJV\scanner[1].zip');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\TEK83S1E\scanner[1].zip');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CTQ7OXMN\17[1].exe');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OT6FWLY7\16[1].exe');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SH4A98EP\15[1].exe');
     DeleteFile('C:\WINDOWS\system32\dllcache\lsasvc.dll');
     DeleteFileMask('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\', '*.*', true);
    
    
     DeleteFile('c:\windows\system32\ptsrunsrv.dll'); //Trojan-Downloader.Win32.FraudLoad.wxfs 
     DeleteFile('c:\windows\system32\rumbtoc.dll'); //Backdoor.Win32.Xyligan.ms 
    
    BC_ImportALL;
     BC_DeleteSvc('protect');
     BC_DeleteSvc('acpi24Drv');
     BC_DeleteSvc('vf');
     BC_DeleteSvc('DescriptionHero');
     BC_DeleteSvc('bd');
     BC_DeleteSvc('BackGround Switch');
     BC_DeleteSvc('vfs');
     BC_DeleteSvc('NoteBook');
     BC_DeleteSvc('gcbg');
     BC_DeleteSvc('Description');
     BC_DeleteSvc('Ati2ezz');
    ExecuteSysClean;
    BC_Activate;
     SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.

    Сделайте полную проверку антивирусом (AVPTool, CureIt)

    Повторите логи по правилам.
    Последний раз редактировалось light59; 23.12.2009 в 11:16.

  7. #6
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    37
    Вес репутации
    58
    При попытке выполнить "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" - вываливает несколько окошек с ошибками и намертво вешает систему.
    После reseta скрипт выполняет.
    AVPTool и CureIt вываливаются с ошибкой.
    KIS 10 после лечения не запускается.
    Карантин и логи теперь только в следующий рабочий день

    Строка
    O20 - AppInit_DLLs: ss12C40088dll.dll,ar12A40097dll.dll,ss12B60095dll. dll,ss12D30002dll.dll,ss12D50000dll.dll,ss12C704dl l.dll,ar12A80099dll.dll,ss12D40000dll.dll,ss12A700 96dll.dll,ar12B3010dll.dll,ss12D004dll.dll
    в хайджеке на месте, только цифры стали другие
    Последний раз редактировалось TOsha; 23.12.2009 в 15:50.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполняйте
    Цитата Сообщение от light59 Посмотреть сообщение
    Повторите логи по правилам.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\avx.exe - Trojan-Downloader.Win32.Ogran.dl ( DrWEB: BackDoor.ClDdos.13, AVAST4: Win32:Trojan-gen )
      2. c:\windows\resdx.exe - Trojan-Downloader.Win32.Ogran.dl ( DrWEB: BackDoor.ClDdos.13, AVAST4: Win32:Trojan-gen )
      3. c:\windows\system32\ptsrunsrv.dll - Trojan-Downloader.Win32.FraudLoad.wxfs ( DrWEB: Trojan.DownLoad1.10707, AVAST4: Win32:Malware-gen )
      4. c:\windows\system32\rumbtoc.dll - Backdoor.Win32.Xyligan.ms ( DrWEB: Trojan.DownLoad1.18956, AVAST4: Win32:PcClient-ZE [Trj] )


  • Уважаемый(ая) TOsha, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 28.08.2010, 23:29
    2. Трафик жгёт(2)
      От ZAP! в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 09:07
    3. Кто-то ест трафик
      От Beautiful_Liar в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 06:13
    4. Трафик
      От valgerius в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.02.2009, 17:52
    5. трафик
      От vve в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 07.03.2008, 18:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00391 seconds with 19 queries