Показано с 1 по 13 из 13.

Вирус тянет трафик, AVZ и Hijack виснут (заявка № 23814)

  1. #1
    Junior Member Репутация
    Регистрация
    31.05.2008
    Сообщений
    9
    Вес репутации
    32

    Thumbs up Вирус тянет трафик, AVZ и Hijack виснут

    Здравствуйте. Помогите, пожалуйста, со следующей проблемой.
    При подключении к интернету где-то через минуту начинает очень активно идти непонятный трафик. По адресу C:\WINDOWS\Temp постоянно появляется файл startdrv.exe, который NOD определяет как Rootkit.Agent.EY и удаляет, но после нового включения либо перезагрузки он снова появляется. Также в папке C:\WINDOWS при запуске создается некая папка Prefetch, в которой собираются данные о запусках программ в компьютере.
    В папке C:\WINDOWS\system32 обнаружил файл glock32.exe, дата создания которого примерн совпадает с началом проблем с трафиком.
    А теперь самое главное. AVZ и Hijack при попытке выполнить любую проверку наглухо виснут.
    С Правилами ознакомился и все действия выполнял строго по ним.
    Чем могут быть вызваны эти зависания? Заранее благодарен.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    pingpong.pif - переименованный AVZ http://rapidshare.com/files/116949749/pingpong.pif.html
    Попробуйте сделать логи им - хотя бы лог по пункту 10 правил.
    Если не получится - то попробуйте в безопасном режиме.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    31.05.2008
    Сообщений
    9
    Вес репутации
    32
    AVZ и Hijack запустились только в безопасном режиме. Логи прикрепляю.
    В папке C:\WINDOWS\system32 появился файл WinNT32.dll, определяемы Касперским как Trojan.Downloader.Win32.Mutant.aao. Вылечить либо удалить его Касперский не в состоянии.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Да, та еще "коллекция".

    Скачайте IceSword.
    Запустите его, внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Yej84.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

    Затем выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('xqexmp.dll','');
     QuarantineFile('pecrxg.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Oty51.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Lqv40.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\pxark.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Yej84.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Yej84.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Lqv40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Oty51.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
    DelWinlogonNotifyByKeyName('WinNt32');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('tcpsr');
    BC_DeleteSvc('Oty51');
    BC_DeleteSvc('Lqv40');
    BC_DeleteSvc('Yej84');
    BC_DeleteSvc('runtime2');
    BC_Activate;
    ExecuteRepair(1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил и скопированный Вами файл (загружать здесь: http://virusinfo.info/upload_virus.php?tid=23814 ).

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    Junior Member Репутация
    Регистрация
    31.05.2008
    Сообщений
    9
    Вес репутации
    32
    Большое спасибо!
    Файлы pecrxg.dll, tcpsr.sys и Yej84.sys были обнаружены и удалены Касперским несколько ранее, поэтому Yej84.sys прислать уже не могу
    Скрипт выполнил, кэш и темп очистил. AVZ и Hijack теперь работают без проблем
    Логи и карантин прилагаю.
    Вложения Вложения

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Рано радуетесь

    Отключите антивирус и интернет!

    Скачать,,меню,File,появится аналог проводника,найти:Bhm40.sys,правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

    Пофиксить

    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O20 - AppInit_DLLs:  
    O20 - Winlogon Notify: pecrxg - pecrxg.dll (file missing)
    O20 - Winlogon Notify: xqexmp - xqexmp.dll (file missing)
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Bhm40');
     DeleteFile('C:\WINDOWS\System32\Drivers\Bhm40.sys');
     DeleteFile('pecrxg.dll');
     DeleteFile('xqexmp.dll');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи.

  8. #7
    Junior Member Репутация
    Регистрация
    31.05.2008
    Сообщений
    9
    Вес репутации
    32
    Все выполнил. Правда WinNT32.dll опять вылез..
    Вложения Вложения

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Отключите восстановление системы!в логах его не видать скорее всего файл называется так WinNt32.dl_?в любом случае сделайте ему в IceSword Force Delete и перезагрузитесь,результат сообщите.

  10. #9
    Junior Member Репутация
    Регистрация
    31.05.2008
    Сообщений
    9
    Вес репутации
    32
    Сильно извиняюсь, вчера выполнял уже ночью и действительно забыл отключить восстановление системы
    Нашел и удалил WinNT32.dl_, но в system32 лежит файл WinNT32.dll, имеющий тот же размер и определяемый Касперским как Trojan.Downloader.Win32.Mutant.aao.
    Еще раз сделал логи с отключенным восстановлением, посмотрите, пожалуйста.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Удалите и WinNT32.dll, он не активен, в логах чисто.
    После перезагрузки проверьте, не появится ли WinNT32.dll, если не появился - то все ок.
    Последний раз редактировалось kps; 02.06.2008 в 14:01.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  12. #11
    Junior Member Репутация
    Регистрация
    31.05.2008
    Сообщений
    9
    Вес репутации
    32
    Похоже все ОК
    Kps и Гриша, спасибо вам огромное!

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,551
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Hedgehog, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 10.04.2012, 00:37
    2. Ответов: 5
      Последнее сообщение: 04.12.2010, 18:01
    3. Вирус. Mbam находит TCPRoute.Hijack
      От Alex123321 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 21.10.2010, 16:01
    4. Тянет в инет..
      От Eugene_G в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 03:32
    5. Что-то тянет систему
      От anatoli в разделе Помогите!
      Ответов: 27
      Последнее сообщение: 05.12.2007, 00:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01422 seconds with 22 queries