Вирус Качает траффик
Дело в том, что я словил DownLoader agent, AVG показывало, что комп инфицирован, но с помощью одной утилиты я вроде как удалил этот вирь, AVG показывает, что вирусов нет, но всё равно идёт передача трафика, когда я даже не сижу в инете. Скажите, как от него избавиться?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
The worst foe lies within the self...
Извините, сейчас добавлю
Вот логи -
1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
2. Запустите, слева внизу нажмите File, затем найдите файлы:
C:\WINDOWS\system32\WinCtrl32.dll
и сделайте им Force Delete.
3. Пофиксите в HijackThis:
4. Выполните скрипт в AVZ:Код:O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\kw.exe',''); QuarantineFile('C:\WINDOWS\system32\equi742.exe',''); QuarantineFile('logon.scr',''); QuarantineFile('c:\g21xrb.exe',''); QuarantineFile('sremcon.exe',''); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('C:\Program Files\PoivY.com\PoivY\PoivY.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winyh86.sys',''); DeleteService('Winyh86'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winxf86.sys',''); DeleteService('Winxf86'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winox53.sys',''); DeleteService('Winox53'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winjr07.sys',''); DeleteService('Winjr07'); QuarantineFile('C:\WINDOWS\System32\Drivers\Wingn20.sys',''); DeleteService('Wingn20'); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); DeleteService('tcpsr'); StopService('tcpsr'); QuarantineFile('C:\WINDOWS\System32\Drivers\Qxf20.sys',''); DeleteService('Qxf20'); QuarantineFile('C:\WINDOWS\System32\Drivers\Ovd31.sys',''); DeleteService('Ovd31'); QuarantineFile('C:\WINDOWS\System32\Drivers\Gnu20.sys',''); DeleteService('Gnu20'); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL',''); QuarantineFile('C:\WINDOWS\system32\adsndsv.dll',''); DeleteFile('C:\WINDOWS\system32\adsndsv.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Gnu20.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ovd31.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Qxf20.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingn20.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjr07.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winox53.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxf86.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyh86.sys'); DeleteFile('C:\WINDOWS\System32\WinCtrl32.dll'); DeleteFile('WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\kw.exe'); DeleteFile('C:\WINDOWS\system32\equi742.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25738
________________
После всего этого сделайте логи снова.
The worst foe lies within the self...
Сделать Force Delete через программу IceSword не удалось, файл WinCtrl32.dll не был найден
Пофиксить в HiJachThis так же не удалось, т.к. директория тоже не была обнаружена.
Выполнил скрипт в AVZ, карантин прислал.
Логи сделанные снова -
Какая директория?Сообщение от Eshenko
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dllКакая директория?
вобщем не удалось пофиксить, т.к. после сканирования системы в HiJackThis этого не оказалось
Добавлено через 38 минут
Хотя мне кажется, проблема решена, трафик вроде больше не качается сам по себе. В любом случае спасибо
Последний раз редактировалось Eshenko; 02.07.2008 в 21:55. Причина: Добавлено
Ну и хорошо. AVZ сама зачистила, спасибо ей.
извините, но кажется , ситуация начала повторяться, вот логи -
помогите, пожалуйста, если можете
так же протестил в cFosSpeed -
..не понятно, откуда бежит этот трафик, помогите плз
Отключите восстановление системы, как написано в правилах.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Installer\43a120.msi',''); QuarantineFile('C:\WINDOWS\Downloaded Program Files\MessengerStatsPAClient.dll',''); QuarantineFile('C:\WINDOWS\Downloaded Program Files\msgrchkr.dll',''); QuarantineFile('C:\WINDOWS\system32\nvappfilter.dll',''); QuarantineFile('logon.scr',''); QuarantineFile('c:\g21xrb.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\vidcap.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=25738 ).
Когда отправите карантин - сообщите.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Карантин прислал
Добавлено через 29 минут
После того, как сделал скрипт и произошла перезагрузка, антивирус AVG нашел в компе следующий вирь - equi646.exe (Trojan Horse Downloader.Agent.AIEY), вроде бы его удалил, но потом я снова перезагрузил комп, поставил антивирус сканировать и снова этот же вирус был обнаружен(((
Добавлено через 13 минут
AVG обнаружил этот вирус в с:/Document and Settings/Local Sevises ... и вродебы снова вылечил, а сейчас AVZ опять обнаружил его, но уже в с:/System Volume Information ... он что, самопроизвольно гуляет по папкам ?
Последний раз редактировалось Eshenko; 15.07.2008 в 11:57. Причина: Добавлено
Восстановление системы на время лечения надо отключать.
Я итак его отключил, потом сделал скрипт, компьютер перезагрузился, я его снова включил
Добавлено через 4 минуты
после того, как этот вирус снова был обнаружен в с:/System Volume Information, я опять отключил восстановление системы, чтоб папка System Volume Information почистилась. Трафик стал улетать меньше, но всётаки до сих пор иногда индикатор передачи информации мигает, когда я не активен в интернете. может быть ещё чтонибудь посоветуете ?
Последний раз редактировалось Eshenko; 15.07.2008 в 12:39. Причина: Добавлено
Я так понимаю, что ждём заключения по карантину.
Отключите восстановление системы, как написано в правилах.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFile('c:\g21xrb.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Выполните пункт 2 правил (полная проверка CureIt!).
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Спасибо, кажется, проблема решена.
Проблема начала повторяться((( Я заметил одну вещь - эта проблема появляется, как только я устанавливаю какие-нибудь программы, вещающие потоковое аудио или видео(Online TV, Online Radio, LastFM и т.п.), программу деинсталирую, но проблема остаётся, и так уже не первый раз, как вы тоже заметили((
Посмотрите, пожалуйста, логи -
А куда идет передача чего, если интернет не подключен? Бредовый вопрос, извините, но во всем же должна быть логика
Вы же Битторрент установили. Так чему же Вы удивляетесь? Почитайте о принципе торрентного протокола: http://ru.wikipedia.org/wiki/BitTorrent
Уважаемый(ая) Eshenko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
