Выручайте! Трафик улетает!

**IndeeZ** · 02.07.2008, 16:36

Доброго времени суток! И снова требуется ваша помощь. На одном из рабочих компив подозрительно быстро улетает трафик. Проверил CureIt-ом, нашел кучку гадостей типа Wigon.ck, spumbot3202? hllw.gavir, мулдропы и прочее. Вроде все удалил, что нашел, но трафик продолжает улетать.... Выручайте!!! Логи прилагаются.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**kps** · 02.07.2008, 17:06

Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Winjm86.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

Затем выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
 QuarantineFile('C:\Documents and Settings\POLIN\Local Settings\Temporary Internet Files\Content.IE5\M7OJ16BY\xloader[1].exe','');
 QuarantineFile('C:\DOCUME~1\POLIN\LOCALS~1\Temp\svc32_1.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winaj01.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wincx70.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winjm86.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
 DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winjm86.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winaj01.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincx70.sys');
 DeleteFile('C:\DOCUME~1\POLIN\LOCALS~1\Temp\svc32_1.exe');
 DeleteFile('C:\Documents and Settings\POLIN\Local Settings\Temporary Internet Files\Content.IE5\M7OJ16BY\xloader[1].exe');
 DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Wincx70');
BC_DeleteSvc('Winaj01');
BC_DeleteSvc('Winjm86');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=25722 ).

Очистите временные папки и кеш браузера.
Сделайте новые логи.

**IndeeZ** · 03.07.2008, 09:00

Winjm86.sys нашел, пересохранил, удалил, все как сказали, но при попытке карантина мне выдали сообщение:
Ошибка карантина файла, попытка прямого чтения (Winjm86.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\Winjm86.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\Winjm86.sys)
Карантин с использованием прямого чтения - ошибка
при попытке переместить, переименовать файл он исчез.
Может я чего то не так сделал? Как быть?
Вобщем, на всякий случай отправил в карантин, все что было, карантан выслал. Логи сделал, отправляю.

**pig** · 03.07.2008, 12:01

Сообщение от IndeeZ

Winjm86.sys нашел, пересохранил, удалил, все как сказали, но при попытке карантина мне выдали сообщение:

Так вы же его прибили, вот он и не находится.

Сообщение от IndeeZ

при попытке переместить, переименовать файл он исчез.

Антивирус слопал, наверное. Можете в его отчётах посмотреть, кого он там нашёл.

**IndeeZ** · 03.07.2008, 12:24

Найдите в нем файл C:\WINDOWS\system32\Drivers\Winjm86.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам...

А это для чего было написано? Что я тогда должен был прислать и как?
В любом случае вроде бы все нормально, подозрительной активности не обнаружено. Большое спасибо!!
P.S.Есть еще вопрос, если не трудно, ответьте: Что за протоколы TCP 25 и UPD 53 Через них уходил трафик, тогда как обычное Инет соединение идет по ТСР 80.

**pig** · 04.07.2008, 04:39

TCP 25 - исходящая почта. Спамбот работал.
UDP 53 - DNS. Это неубиенно.

**CyberHelper** · 22.02.2009, 06:19

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 4
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\polin\\local settings\\temporary internet files\\content.ie5\\m7oj16by\\xloader[1].exe - Trojan-Downloader.Win32.Small.xws (DrWEB: Trojan.DownLoader.63792)
2. c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Agent.dgu (DrWEB: Trojan.DownLoad.1131)
3. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.avl (DrWEB: Trojan.Rntm.7)

Выручайте! Трафик улетает! (заявка № 25722)

Опции темы

Выручайте! Трафик улетает!

Итог лечения

Похожие темы

Выручайте

выручайте!!!!

Выручайте!!!!

Выручайте

Выручайте!

Ваши права в разделе