Показано с 1 по 4 из 4.

Троян - Большой исходящий трафик. (заявка № 21999)

  1. #1
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    5
    Вес репутации
    59

    Question Троян - Большой исходящий трафик.

    Собственно поймал трояна который занимается рассылкой спама, из-за этого очень большой исходящий трафик, и невозможность работы в интернете.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Скачайте IceSword.
    Запустите программу.
    Внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файлы C:\WINDOWS\System32\Drivers\Jsw26.sys, C:\WINDOWS\System32\drivers\Xrc28.sys, C:\WINDOWS\System32\drivers\Rae72.sys, C:\WINDOWS\system32\WLCtrl32.dll.
    Нажмите по нему правой кнопкой мыши и выберите force delete.
    На запрос потверждения ответьте "да".
    Перезагрузите компьютер.

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\idaw64.exe','');
     QuarantineFile('c:\windows\lsass.exe','');
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\kavir.exe','');
     QuarantineFile('C:\WINDOWS\system32\sam.exe.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('WLCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
     QuarantineFile('C:\DOCUME~1\0BC6~1\LOCALS~1\Temp\ASFWHide','');
     QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\0.EXE','');
     QuarantineFile('C:\DOCUME~1\0BC6~1\LOCALS~1\Temp\2\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\head2.exe','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\head2.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\Rae72.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Xrc28.sys');
     DeleteFile('C:\DOCUME~1\0BC6~1\LOCALS~1\Temp\2\svchost.exe');
     DeleteFile('C:\WINDOWS\TEMP\0.EXE');
     DeleteFile('C:\WINDOWS\system32\mnmsrvc.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Jsw26.sys');
     DeleteFile('WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\sam.exe.exe');
     DeleteFile('C:\WINDOWS\kavir.exe');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temp:svchosm.exe:$DATA');
     DeleteFile('c:\windows\lsass.exe');
     DeleteFile('C:\WINDOWS\system32\idaw64.exe');
    BC_ImportDeletedList;
    BC_DeleteSvc('Jsw26');
    BC_DeleteSvc('Rae72');
    BC_DeleteSvc('Xrc28');
    BC_DeleteSvc('grande48');
    BC_DeleteSvc('Google Online Services');
    BC_DeleteSvc('mnmsrvc');
    BC_DeleteSvc('PolicyAgent');
    BC_DeleteSvc('FCI');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=21999

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\idaw64.exe,C:\WIND OWS\system32\deviceemulator.exe,C:\WINDOWS\system32\ntos.exe,
    O2 - BHO: (no name) - {F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2} - c:\autoex.dll (file missing)
    O2 - BHO: Gamburg provider - {FFFFFFFF-D71D-41e4-A699-F506DBD097F0} - msindc.dll (file missing)
    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    5
    Вес репутации
    59
    Файла Jsw26.sys в системе обнаружено небыло.
    строка F2 - REG:system.ini: <...> system32\ntos.exe, - отсутствовала.

    Карантин выслал.

  5. #4
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\networkservice\\local settings\\temp:svchosm.exe:$data - Trojan.Win32.Inject.bcj (DrWEB: Trojan.Spambot.3154)
      2. c:\\windows\\lsass.exe - Trojan.Win32.Agent.iva (DrWEB: Trojan.DownLoader.5726
      3. c:\\windows\\system32\\head2.exe - Trojan-Dropper.Win32.Agent.qry (DrWEB: Trojan.Virtumod.based.22)
      4. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.aug (DrWEB: Trojan.Proxy.2684)
      5. c:\\windows\\system32\\svchost.exe:ext.exe:$data - Trojan.Win32.Inject.bcj (DrWEB: Trojan.Spambot.3154)


  • Уважаемый(ая) VVChaif, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Большой исходящий трафик
      От dentrepel в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 27.11.2010, 08:10
    2. Большой исходящий трафик
      От Komissar в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 13.10.2010, 19:52
    3. Большой исходящий трафик
      От Ferroks в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.07.2009, 13:38
    4. Большой исходящий трафик
      От Dexee в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 10.04.2009, 12:50
    5. Большой исходящий трафик
      От dshpavel в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 06:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01256 seconds with 20 queries