Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

Трояны, вирусы, большой исходящий трафик (25ый порт) (заявка № 18832)

  1. #1
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    30
    Вес репутации
    33

    Thumbs up Трояны, вирусы, большой исходящий трафик (25ый порт)

    Всем доброго дня!
    у меня в сети на работе есть компьютер (в домене с правами локального админа ) с которым уже 4 дня борюсь, переставить винду не выход ибо стоит ооооочень старая финансовая программа для работы с базой данных, у которой все ключи и лицензии утерены.

    "стоит" avg free edition, на данную минуту не получается ни службу запустить ни просто проверку сделать, попытка поставить любой другой антивирус заканчивается неудачей - он как бы ставиться, но не работает как и avg. Cureit`ом и Avz4 проверил систему как в обычном так и в безопасном режиме, нашли много чего и много чего вылечили (что конкретно не помню), делал востановление системы (из avz), sfc /scannow, но проблемы как были так и остались. Целых 5 гигов за выходные отдал по 25порту... я так полагаю, что от нас спам шел полным ходом (простите если к вам попало )

    ах да еще вспомнил, временами появляется над часами мини аларм-окошко типа как у антивирусных программ с оповещением, что найдены трояны и предложением удалить, в карантин и тд, причем ничего такого антивирусного не стоит

    буду очень вам признателен за помощь!
    Последний раз редактировалось gorex; 04.04.2008 в 17:01.

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Профиксить в HijackThis:
    Код:
    O2 - BHO: (no name) - {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} - (no file)
    O2 - BHO: (no name) - {00000012-890e-4aac-afd9-eff6954a34dd} - (no file)
    O2 - BHO: (no name) - {029e02f0-a0e5-4b19-b958-7bf2db29fb13} - (no file)
    O2 - BHO: (no name) - {06dfedaa-6196-11d5-bfc8-00508b4a487d} - (no file)
    O2 - BHO: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)
    O2 - BHO: (no name) - {1adbcce8-cf84-441e-9b38-afc7a19c06a4} - (no file)
    O2 - BHO: (no name) - {2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71} - (no file)
    O2 - BHO: (no name) - {481fd70a-1dd2-11b2-b034-e7c88bf9a5fd} - C:\WINDOWS\mtorijwb.dll
    O2 - BHO: (no name) - {51641ef3-8a7a-4d84-8659-b0911e947cc8} - (no file)
    O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file)
    O2 - BHO: (no name) - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
    O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)
    O2 - BHO: (no name) - {6abc861a-31e7-4d91-b43b-d3c98f22a5c0} - (no file)
    O2 - BHO: (no name) - {944864a5-3916-46e2-96a9-a2e84f3f1208} - (no file)
    O2 - BHO: (no name) - {a4a435cf-3583-11d4-91bd-0048546a1450} - (no file)
    O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)
    O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file)
    O2 - BHO: (no name) - {c2680e10-1655-4a0e-87f8-4259325a84b7} - (no file)
    O2 - BHO: (no name) - {c4ca6559-2cf1-48b6-96b2-8340a06fd129} - (no file)
    O2 - BHO: (no name) - {c5af2622-8c75-4dfb-9693-23ab7686a456} - (no file)
    O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file)
    O2 - BHO: (no name) - {d8efadf1-9009-11d6-8c73-608c5dc19089} - (no file)
    O2 - BHO: (no name) - {e9147a0a-a866-4214-b47c-da821891240f} - (no file)
    O2 - BHO: (no name) - {e9306072-417e-43e3-81d5-369490beef7c} - (no file)
    Два антивируса пользы не принесут. НОД надо удалить. Сейчас напишу скрипт для всего остального чего наловили.

    Добавлено через 7 минут

    Восст. системы все же придется отключить. Наловили очень много, даже не знаю выживет система или нет.

    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('c:\windows\system32\msyp32.dll','');
     QuarantineFile('C:\WINDOWS\szshqleh.dll','');
     QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
     QuarantineFile('C:\DOCUME~1\RADULO~1.RUZ\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\DOCUME~1\RADULO~1.RUZ\LOCALS~1\Temp\452c4a4hpc4a4b.exe','');
     QuarantineFile('C:\WINDOWS\system32\diperto4398-548c.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Tyd38.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ods39.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Ods39.sys');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Ods39.sys');
      DeleteFile('C:\WINDOWS\System32\Drivers\Tyd38.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Tyd38.sys');
     DeleteFile('C:\DOCUME~1\RADULO~1.RUZ\LOCALS~1\Temp\452c4a4hpc4a4b.exe');
     DeleteFile('C:\DOCUME~1\RADULO~1.RUZ\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     DeleteFile('C:\WINDOWS\szshqleh.dll');
     BC_DeleteFile('C:\WINDOWS\szshqleh.dll');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить карантин через ссылку вверху темы.

    Сделать новый комплект логов.
    Последний раз редактировалось PavelA; 28.02.2008 в 18:55. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    30
    Вес репутации
    33
    ого спасибо большое! (у самого такого за 2.5 года работы в IT не было)
    завтра буду лечить!

    Два антивируса пользы не принесут. НОД надо удалить. Сейчас напишу скрипт для всего остального чего наловили.
    а там такая ситуация была, что неполучалось анинсталить авг((

    п.с.
    если честно не ожидал такой оперативности...
    спасибо еще раз.

    п.п.с.
    как проделаю все выше описанное сразу выложу логи.

  5. #4
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    30
    Вес репутации
    33
    извеняюсь, что так долго.
    Все операции выполнил, логи и карантин прикрепил
    Последний раз редактировалось gorex; 04.04.2008 в 17:01.

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Низяяя карантин сюда прикладывать!!!
    Нужно загружать через ссылку вверху темы. "Утром деньги - вечером стулья", так и у нас "Карантин загружаем по ссылке -- логи прикрепляем к теме".
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    30
    Вес репутации
    33
    забыл прикрепить лог hijackthis
    Последний раз редактировалось gorex; 04.04.2008 в 17:01.

  8. #7
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    30
    Вес репутации
    33
    Цитата Сообщение от PavelA Посмотреть сообщение
    Низяяя карантин сюда прикладывать!!!
    Нужно загружать через ссылку вверху темы. "Утром деньги - вечером стулья", так и у нас "Карантин загружаем по ссылке -- логи прикрепляем к теме".
    эммм.... я видимо не проснулся еще...
    ссылку вверху темы имеется ввиду эта:
    Прислать запрошенные файлы
    если эта, то я так и сделал, а прикреплены только логи, просто не точно написал...

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Продолжим
    Первый шаг:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\Drivers\Tyd38.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Tyd38.sys');
     DeleteFile('WLCtrl32.dll');
     BC_DeleteFile('WLCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Если удаляться, то пойдем дальше. М.б. сейчас подправлю скрипт, так что не спеши.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    virusinfo_cure.zip - карантин. Его надо через ссылку загружать.

    Есть, кстати вариант такой: один из антивирусов вырубить скриптом. Тогда лечение пойдет побыстрее.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    30
    Вес репутации
    33
    Цитата Сообщение от PavelA Посмотреть сообщение
    virusinfo_cure.zip - карантин. Его надо через ссылку загружать.
    опс сори... думал нужно папку qurantin зипить и отправлять, сейчас испавлюсь

    Добавлено через 7 минут

    новы

    Добавлено через 2 минуты

    новый скрипт выполнил... правда непонятно удалилось ли что-нибудь, все прошло быстро, несколько красных строчек и перезагуз....
    Последний раз редактировалось gorex; 04.03.2008 в 11:49. Причина: Добавлено

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Сделай лог из п.8, посмотрим прошло или нет.

    В карантин попали какие-то pif-файлы, которые я даже не запрашивал.
    Симантек сказал, что это Trojan Horse.

    Надо их убивать. Просмотри карантин и удали эти пифы с диска.
    Последний раз редактировалось PavelA; 04.03.2008 в 12:00.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    30
    Вес репутации
    33
    пифы удалил, п.8 выполнил, логи прикрепил, а карантин куда надо выслал

    Цитата Сообщение от PavelA Посмотреть сообщение
    Есть, кстати вариант такой: один из антивирусов вырубить скриптом. Тогда лечение пойдет побыстрее.
    только заметил, а разве там хоть один антивирус задйствован?
    все анинсталены, все службы хоть и висят там остановлены и не запускаются... как же их удалить, даж файлов исполняемых нет?

    п.с.
    переслал файл карантина
    Последний раз редактировалось gorex; 04.04.2008 в 17:01.

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Эти пифы - Worm.Win32.Feebs в различных модификациях.

    Антивирусы задействованы как модули ядра, да и в Автозапуске они активны.
    Автозапуск можно отключить через AVZ.

    Все злодеи живы

    Выполнить:
    Код:
    begin
     SearchRootkit(false, true);
     StopService('Tyd38');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tyd38', 'Start');
     RebootWindows(true); 
    end.
    Потом повторить скрипт на удаление из №8
    Если ничего не удалиться, то
    скачать ... http://www.wasm.ru/baixado.php?mode=tool&id=392
    - отключить антивирус и фаервол
    - оключиться от интернета
    tools - wipe/copy file - browse и находим файл C:\WINDOWS\Tyd38.sys ... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
    затем выполните скрипт из сообщения №8

    Затем сделать новый лог из п.8
    Последний раз редактировалось PavelA; 04.03.2008 в 14:07.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    30
    Вес репутации
    33
    а точно C:\WINDOWS\Tyd38.sys (нет такого) а не C:\WINDOWS\Sysetm32\msyp32.dll (он все время в карантине появляется)

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    C:\WINDOWS\System32\Drivers\Tyd38.sys - есть ?

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    ТНК V_Bond

    Торопился, отвлекали, вот директорию не ту и написал.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    30
    Вес репутации
    33
    сори, и я поленился поиском воспользоваться... запары навалило
    все сделал, и делал под своей учеткой... обнаружились новые вири...
    Последний раз редактировалось gorex; 04.04.2008 в 17:01.

  19. #18
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Tyd38\0000', 'CSConfigFlags', '1');
     QuarantineFile('E:\Soft\shut.bat','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     QuarantineFile('c:\windows\system32\msyp32.dll','');
     QuarantineFile('C:\WINDOWS\system32\LogCrypt.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\haxkxotw.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\haxkxotw.dll');
     DeleteFile('C:\WINDOWS\system32\LogCrypt.dll');
     DeleteFile('c:\windows\system32\msyp32.dll');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Tyd38.sys');
     BC_ImportALL;
     BC_DeleteSvc('Tyd38');
     BC_DeleteSvc('diperto4398-548c');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил. Повторите логи.

  20. #19
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    30
    Вес репутации
    33
    все проделал, выкладываю

    п.с.
    оффтопик: Maxim, супер подпись! а есть такая с оперой?
    Последний раз редактировалось gorex; 04.04.2008 в 17:01.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    E:\Soft\shut.bat- сами писали батник?
    Профиксить в HijackThis:
    Код:
    O20 - Winlogon Notify: LogCrypt - LogCrypt.dll (file missing)
    O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
    O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
    O21 - SSODL: msyp32.dll - {A08BA39B-1AD4-EF39-78DD-21B1728F6EA7} - (no file)
    Выполните скрипт в AVZ:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('AvgTdi');
     DeleteService('Avg7RsXP');
     DeleteService('Avg7RsW');
     DeleteService('Avg7Core');
     DeleteService('AMON');
     DeleteService('NOD32krn');
     DeleteService('AVGEMS');
     DeleteService('Avg7UpdSvc');
     DeleteService('Avg7Alrt');
     DeleteFile('C:\Program Files\Eset\nod32krn.exe');
     DeleteFile('C:\PROGRA~1\Grisoft\AVG7\avgemc.exe');
     DeleteFile('C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe');
     DeleteFile('C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\amon.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\avg7core.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\avg7rsw.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\avg7rsxp.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\avgtdi.sys');
     DeleteFile('C:\PROGRA~1\Grisoft\AVG7\avgcc.exe');
     DeleteFile('C:\PROGRA~1\Grisoft\AVG7\avgw.exe');
     DeleteFile('C:\Program Files\Eset\nod32kui.exe');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.

  • Уважаемый(ая) gorex, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Большой исходящий трафик
      От Kotya в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 09.03.2010, 12:21
    2. Большой исходящий трафик
      От Exxx в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.03.2009, 16:29
    3. Большой исходящий трафик
      От dshpavel в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 06:21
    4. Большой исходящий трафик!..
      От AndyLeeC в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:58
    5. Ответов: 80
      Последнее сообщение: 22.02.2009, 01:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00890 seconds with 22 queries