Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

Трояны, вирусы, большой исходящий трафик (25ый порт) (заявка № 18832)

  1. #1
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    30
    Вес репутации
    59

    Thumbs up Трояны, вирусы, большой исходящий трафик (25ый порт)

    Всем доброго дня!
    у меня в сети на работе есть компьютер (в домене с правами локального админа ) с которым уже 4 дня борюсь, переставить винду не выход ибо стоит ооооочень старая финансовая программа для работы с базой данных, у которой все ключи и лицензии утерены.

    "стоит" avg free edition, на данную минуту не получается ни службу запустить ни просто проверку сделать, попытка поставить любой другой антивирус заканчивается неудачей - он как бы ставиться, но не работает как и avg. Cureit`ом и Avz4 проверил систему как в обычном так и в безопасном режиме, нашли много чего и много чего вылечили (что конкретно не помню), делал востановление системы (из avz), sfc /scannow, но проблемы как были так и остались. Целых 5 гигов за выходные отдал по 25порту... я так полагаю, что от нас спам шел полным ходом (простите если к вам попало )

    ах да еще вспомнил, временами появляется над часами мини аларм-окошко типа как у антивирусных программ с оповещением, что найдены трояны и предложением удалить, в карантин и тд, причем ничего такого антивирусного не стоит

    буду очень вам признателен за помощь!
    Последний раз редактировалось gorex; 04.04.2008 в 17:01.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Профиксить в HijackThis:
    Код:
    O2 - BHO: (no name) - {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} - (no file)
    O2 - BHO: (no name) - {00000012-890e-4aac-afd9-eff6954a34dd} - (no file)
    O2 - BHO: (no name) - {029e02f0-a0e5-4b19-b958-7bf2db29fb13} - (no file)
    O2 - BHO: (no name) - {06dfedaa-6196-11d5-bfc8-00508b4a487d} - (no file)
    O2 - BHO: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)
    O2 - BHO: (no name) - {1adbcce8-cf84-441e-9b38-afc7a19c06a4} - (no file)
    O2 - BHO: (no name) - {2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71} - (no file)
    O2 - BHO: (no name) - {481fd70a-1dd2-11b2-b034-e7c88bf9a5fd} - C:\WINDOWS\mtorijwb.dll
    O2 - BHO: (no name) - {51641ef3-8a7a-4d84-8659-b0911e947cc8} - (no file)
    O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file)
    O2 - BHO: (no name) - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
    O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)
    O2 - BHO: (no name) - {6abc861a-31e7-4d91-b43b-d3c98f22a5c0} - (no file)
    O2 - BHO: (no name) - {944864a5-3916-46e2-96a9-a2e84f3f1208} - (no file)
    O2 - BHO: (no name) - {a4a435cf-3583-11d4-91bd-0048546a1450} - (no file)
    O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)
    O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file)
    O2 - BHO: (no name) - {c2680e10-1655-4a0e-87f8-4259325a84b7} - (no file)
    O2 - BHO: (no name) - {c4ca6559-2cf1-48b6-96b2-8340a06fd129} - (no file)
    O2 - BHO: (no name) - {c5af2622-8c75-4dfb-9693-23ab7686a456} - (no file)
    O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file)
    O2 - BHO: (no name) - {d8efadf1-9009-11d6-8c73-608c5dc19089} - (no file)
    O2 - BHO: (no name) - {e9147a0a-a866-4214-b47c-da821891240f} - (no file)
    O2 - BHO: (no name) - {e9306072-417e-43e3-81d5-369490beef7c} - (no file)
    Два антивируса пользы не принесут. НОД надо удалить. Сейчас напишу скрипт для всего остального чего наловили.

    Добавлено через 7 минут

    Восст. системы все же придется отключить. Наловили очень много, даже не знаю выживет система или нет.

    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('c:\windows\system32\msyp32.dll','');
     QuarantineFile('C:\WINDOWS\szshqleh.dll','');
     QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
     QuarantineFile('C:\DOCUME~1\RADULO~1.RUZ\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\DOCUME~1\RADULO~1.RUZ\LOCALS~1\Temp\452c4a4hpc4a4b.exe','');
     QuarantineFile('C:\WINDOWS\system32\diperto4398-548c.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Tyd38.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ods39.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Ods39.sys');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Ods39.sys');
      DeleteFile('C:\WINDOWS\System32\Drivers\Tyd38.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Tyd38.sys');
     DeleteFile('C:\DOCUME~1\RADULO~1.RUZ\LOCALS~1\Temp\452c4a4hpc4a4b.exe');
     DeleteFile('C:\DOCUME~1\RADULO~1.RUZ\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     DeleteFile('C:\WINDOWS\szshqleh.dll');
     BC_DeleteFile('C:\WINDOWS\szshqleh.dll');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить карантин через ссылку вверху темы.

    Сделать новый комплект логов.
    Последний раз редактировалось PavelA; 28.02.2008 в 18:55. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    30
    Вес репутации
    59
    ого спасибо большое! (у самого такого за 2.5 года работы в IT не было)
    завтра буду лечить!

    Два антивируса пользы не принесут. НОД надо удалить. Сейчас напишу скрипт для всего остального чего наловили.
    а там такая ситуация была, что неполучалось анинсталить авг((

    п.с.
    если честно не ожидал такой оперативности...
    спасибо еще раз.

    п.п.с.
    как проделаю все выше описанное сразу выложу логи.

  5. #4
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    30
    Вес репутации
    59
    извеняюсь, что так долго.
    Все операции выполнил, логи и карантин прикрепил
    Последний раз редактировалось gorex; 04.04.2008 в 17:01.

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Низяяя карантин сюда прикладывать!!!
    Нужно загружать через ссылку вверху темы. "Утром деньги - вечером стулья", так и у нас "Карантин загружаем по ссылке -- логи прикрепляем к теме".
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    30
    Вес репутации
    59
    забыл прикрепить лог hijackthis
    Последний раз редактировалось gorex; 04.04.2008 в 17:01.

  8. #7
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    30
    Вес репутации
    59
    Цитата Сообщение от PavelA Посмотреть сообщение
    Низяяя карантин сюда прикладывать!!!
    Нужно загружать через ссылку вверху темы. "Утром деньги - вечером стулья", так и у нас "Карантин загружаем по ссылке -- логи прикрепляем к теме".
    эммм.... я видимо не проснулся еще...
    ссылку вверху темы имеется ввиду эта:
    Прислать запрошенные файлы
    если эта, то я так и сделал, а прикреплены только логи, просто не точно написал...

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Продолжим
    Первый шаг:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\Drivers\Tyd38.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Tyd38.sys');
     DeleteFile('WLCtrl32.dll');
     BC_DeleteFile('WLCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Если удаляться, то пойдем дальше. М.б. сейчас подправлю скрипт, так что не спеши.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    virusinfo_cure.zip - карантин. Его надо через ссылку загружать.

    Есть, кстати вариант такой: один из антивирусов вырубить скриптом. Тогда лечение пойдет побыстрее.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    30
    Вес репутации
    59
    Цитата Сообщение от PavelA Посмотреть сообщение
    virusinfo_cure.zip - карантин. Его надо через ссылку загружать.
    опс сори... думал нужно папку qurantin зипить и отправлять, сейчас испавлюсь

    Добавлено через 7 минут

    новы

    Добавлено через 2 минуты

    новый скрипт выполнил... правда непонятно удалилось ли что-нибудь, все прошло быстро, несколько красных строчек и перезагуз....
    Последний раз редактировалось gorex; 04.03.2008 в 11:49. Причина: Добавлено

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Сделай лог из п.8, посмотрим прошло или нет.

    В карантин попали какие-то pif-файлы, которые я даже не запрашивал.
    Симантек сказал, что это Trojan Horse.

    Надо их убивать. Просмотри карантин и удали эти пифы с диска.
    Последний раз редактировалось PavelA; 04.03.2008 в 12:00.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    30
    Вес репутации
    59
    пифы удалил, п.8 выполнил, логи прикрепил, а карантин куда надо выслал

    Цитата Сообщение от PavelA Посмотреть сообщение
    Есть, кстати вариант такой: один из антивирусов вырубить скриптом. Тогда лечение пойдет побыстрее.
    только заметил, а разве там хоть один антивирус задйствован?
    все анинсталены, все службы хоть и висят там остановлены и не запускаются... как же их удалить, даж файлов исполняемых нет?

    п.с.
    переслал файл карантина
    Последний раз редактировалось gorex; 04.04.2008 в 17:01.

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Эти пифы - Worm.Win32.Feebs в различных модификациях.

    Антивирусы задействованы как модули ядра, да и в Автозапуске они активны.
    Автозапуск можно отключить через AVZ.

    Все злодеи живы

    Выполнить:
    Код:
    begin
     SearchRootkit(false, true);
     StopService('Tyd38');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tyd38', 'Start');
     RebootWindows(true); 
    end.
    Потом повторить скрипт на удаление из №8
    Если ничего не удалиться, то
    скачать ... http://www.wasm.ru/baixado.php?mode=tool&id=392
    - отключить антивирус и фаервол
    - оключиться от интернета
    tools - wipe/copy file - browse и находим файл C:\WINDOWS\Tyd38.sys ... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
    затем выполните скрипт из сообщения №8

    Затем сделать новый лог из п.8
    Последний раз редактировалось PavelA; 04.03.2008 в 14:07.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    30
    Вес репутации
    59
    а точно C:\WINDOWS\Tyd38.sys (нет такого) а не C:\WINDOWS\Sysetm32\msyp32.dll (он все время в карантине появляется)

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\WINDOWS\System32\Drivers\Tyd38.sys - есть ?

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    ТНК V_Bond

    Торопился, отвлекали, вот директорию не ту и написал.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    30
    Вес репутации
    59
    сори, и я поленился поиском воспользоваться... запары навалило
    все сделал, и делал под своей учеткой... обнаружились новые вири...
    Последний раз редактировалось gorex; 04.04.2008 в 17:01.

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Tyd38\0000', 'CSConfigFlags', '1');
     QuarantineFile('E:\Soft\shut.bat','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     QuarantineFile('c:\windows\system32\msyp32.dll','');
     QuarantineFile('C:\WINDOWS\system32\LogCrypt.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\haxkxotw.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\haxkxotw.dll');
     DeleteFile('C:\WINDOWS\system32\LogCrypt.dll');
     DeleteFile('c:\windows\system32\msyp32.dll');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Tyd38.sys');
     BC_ImportALL;
     BC_DeleteSvc('Tyd38');
     BC_DeleteSvc('diperto4398-548c');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил. Повторите логи.

  20. #19
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    30
    Вес репутации
    59
    все проделал, выкладываю

    п.с.
    оффтопик: Maxim, супер подпись! а есть такая с оперой?
    Последний раз редактировалось gorex; 04.04.2008 в 17:01.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    E:\Soft\shut.bat- сами писали батник?
    Профиксить в HijackThis:
    Код:
    O20 - Winlogon Notify: LogCrypt - LogCrypt.dll (file missing)
    O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
    O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
    O21 - SSODL: msyp32.dll - {A08BA39B-1AD4-EF39-78DD-21B1728F6EA7} - (no file)
    Выполните скрипт в AVZ:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('AvgTdi');
     DeleteService('Avg7RsXP');
     DeleteService('Avg7RsW');
     DeleteService('Avg7Core');
     DeleteService('AMON');
     DeleteService('NOD32krn');
     DeleteService('AVGEMS');
     DeleteService('Avg7UpdSvc');
     DeleteService('Avg7Alrt');
     DeleteFile('C:\Program Files\Eset\nod32krn.exe');
     DeleteFile('C:\PROGRA~1\Grisoft\AVG7\avgemc.exe');
     DeleteFile('C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe');
     DeleteFile('C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\amon.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\avg7core.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\avg7rsw.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\avg7rsxp.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\avgtdi.sys');
     DeleteFile('C:\PROGRA~1\Grisoft\AVG7\avgcc.exe');
     DeleteFile('C:\PROGRA~1\Grisoft\AVG7\avgw.exe');
     DeleteFile('C:\Program Files\Eset\nod32kui.exe');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.

  • Уважаемый(ая) gorex, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Большой исходящий трафик
      От Kotya в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 09.03.2010, 12:21
    2. Большой исходящий трафик
      От Exxx в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.03.2009, 16:29
    3. Большой исходящий трафик
      От dshpavel в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 06:21
    4. Большой исходящий трафик!..
      От AndyLeeC в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:58
    5. Ответов: 80
      Последнее сообщение: 22.02.2009, 01:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00156 seconds with 17 queries