-
Junior Member
- Вес репутации
- 58
Выручайте! Трафик улетает!
Доброго времени суток! И снова требуется ваша помощь. На одном из рабочих компив подозрительно быстро улетает трафик. Проверил CureIt-ом, нашел кучку гадостей типа Wigon.ck, spumbot3202? hllw.gavir, мулдропы и прочее. Вроде все удалил, что нашел, но трафик продолжает улетать.... Выручайте!!! Логи прилагаются.
Последний раз редактировалось IndeeZ; 12.09.2009 в 15:27.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Winjm86.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('C:\Documents and Settings\POLIN\Local Settings\Temporary Internet Files\Content.IE5\M7OJ16BY\xloader[1].exe','');
QuarantineFile('C:\DOCUME~1\POLIN\LOCALS~1\Temp\svc32_1.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winaj01.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wincx70.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winjm86.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_');
DeleteFile('C:\WINDOWS\system32\Drivers\Winjm86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaj01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincx70.sys');
DeleteFile('C:\DOCUME~1\POLIN\LOCALS~1\Temp\svc32_1.exe');
DeleteFile('C:\Documents and Settings\POLIN\Local Settings\Temporary Internet Files\Content.IE5\M7OJ16BY\xloader[1].exe');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Wincx70');
BC_DeleteSvc('Winaj01');
BC_DeleteSvc('Winjm86');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=25722 ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 58
Winjm86.sys нашел, пересохранил, удалил, все как сказали, но при попытке карантина мне выдали сообщение:
Ошибка карантина файла, попытка прямого чтения (Winjm86.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\Winjm86.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\Winjm86.sys)
Карантин с использованием прямого чтения - ошибка
при попытке переместить, переименовать файл он исчез.
Может я чего то не так сделал? Как быть?
Вобщем, на всякий случай отправил в карантин, все что было, карантан выслал. Логи сделал, отправляю.
Последний раз редактировалось IndeeZ; 12.09.2009 в 15:27.
-
Сообщение от
IndeeZ
Winjm86.sys нашел, пересохранил, удалил, все как сказали, но при попытке карантина мне выдали сообщение:
Так вы же его прибили, вот он и не находится.
Сообщение от
IndeeZ
при попытке переместить, переименовать файл он исчез.
Антивирус слопал, наверное. Можете в его отчётах посмотреть, кого он там нашёл.
-
-
Junior Member
- Вес репутации
- 58
Найдите в нем файл C:\WINDOWS\system32\Drivers\Winjm86.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам...
А это для чего было написано? Что я тогда должен был прислать и как?
В любом случае вроде бы все нормально, подозрительной активности не обнаружено. Большое спасибо!!
P.S.Есть еще вопрос, если не трудно, ответьте: Что за протоколы TCP 25 и UPD 53 Через них уходил трафик, тогда как обычное Инет соединение идет по ТСР 80.
-
TCP 25 - исходящая почта. Спамбот работал.
UDP 53 - DNS. Это неубиенно.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\polin\\local settings\\temporary internet files\\content.ie5\\m7oj16by\\xloader[1].exe - Trojan-Downloader.Win32.Small.xws (DrWEB: Trojan.DownLoader.63792)
- c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Agent.dgu (DrWEB: Trojan.DownLoad.1131)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.avl (DrWEB: Trojan.Rntm.7)
-