Троян использует мое подключенте к интернету
Поймал троян который использует мое подключение к интернету и гоняет пакеты. Исходящих пакетов у меня в 5 раз больше входящих. Когда троян активирован линия всегда перегружена. Похоже через меня рассылают спам. Еще интересно, что троян активируется, когда никто за компютером не работает и после перезагрузки никак себя не проявляет.
Не могу с ним справиться. Надеюсь на помощь.
Последний раз редактировалось bsexpert; 04.07.2007 в 13:19.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\Installer\1815aa9.msi'); DeleteFile('C:\Documents and Settings\root\Application Data\Microsoft\Installer\{738179D8-3D76-4AFF-A7BE-AEF3B4370CB4}\ARPPRODUCTICON.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие рание в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
Повторите логи.
Карантин выслал, а вот логи
в логах ничего подозрительного больше нет,проблема исчезла?
Спасибо! Благодарю за помощь.
Понаблюдаю теперь за трафиком.
Выполните скрипт в AVZ:
После перезагрузки пришлите карантин согласно приложению 3 правил.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program.exe',''); QuarantineFile('C:\WINDOWS\pagepromoterbar.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Увы, но проблема не исчезла. Сейчас троян опять активизировался и куда-то шлет пакеты по 20 Mb за 15 мин.
Файл C:\Program.exe не существует, но этот путь как-то связан с БД MySQl, я пробовал его фиксить, но тогда MySql не работает.
Повторяю логи при активизированном трояне, может что увидите.
pagepromoterbar.dll я бы убил и посмотрел, как будет без него.
Может это принтер шалит, отключите все его сервисы на время.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Удалил, но это не он, и не принтер. Наш системный администратор посмотрел на шлюзе. От меня идет большой SMTP трафик на бесплатные почтовые сервера (mail.ru, yandex.ru и т.п.)
Добавлено через 15 минут
Переустанавливать Винду из-за этих спамеров что-ли?
Последний раз редактировалось bsexpert; 04.07.2007 в 15:31. Причина: Добавлено сообщение
установите фаервол,например Comodo и узнаем кто там у нас шалит
либо в момент активности, пуск--выполнить--cmd и там вводим netstat -ab >c:\virusinfo.txt
и файлик прикрепите к сообщению
PS.но фаервол не повредит.
А к вашему апачу есть доступ снаружи? Мож кто ломанул его и через него рассылает спам.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\pagepromoterbar.dll - not-a-virus:AdWare.Win32.Delf.aj
Уважаемый(ая) bsexpert, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
