При установлении подключения к интернету (Dial-Up модемное соединение) сразу начинаеться резвая передача и приём байтов,
даже ещё до того, как начинаю ходить по инету...
Нод32 находит периодически файлы формата Win??DD.sys, где ?? - любые латинские символы, а DD - любые цифры...
Вот например одна из последних проверок:
Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
13.07.2008 4:16:03 Ядро файл C:\WINDOWS\system32\drivers\winfl17.sys Win32/Wigon.CK троян Обнаружена инфекция при проверке файлов, запускаемых при старте системы
Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
13.07.2008 4:16:08 Ядро файл C:\WINDOWS\system32\activedsq.dll Win32/Spy.Agent.NHN троян Обнаружена инфекция при проверке файлов, запускаемых при старте системы
Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
13.07.2008 4:19:06 AMON файл C:\WINDOWS\System32\drivers\Winnt30.sys Win32/Wigon.CK троян изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\TEMP\BN2.tmp. Файл был перемещен в карантин. Вы можете закрыть это окно.
Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
13.07.2008 4:24:57 AMON файл C:\WINDOWS\system32\drivers\Winnt30.sys Win32/Wigon.CK троян изолирован - удален NT AUTHORITY\SYSTEM Событие произошло в модифицированном файле. Файл был перемещен в карантин. Вы можете закрыть это окно.
И после НОДа этого CureIT в безопасном режиме находит вот это:
[Шлях, що перевіряється] c:\windows\system32\drivers\winnt30.sys
c:\windows\system32\drivers\winnt30.sys інфікований Trojan.Rntm.10 - видалений
[Шлях, що перевіряється] c:\windows\system32\winctrl32.dll
c:\windows\system32\winctrl32.dll інфікований Trojan.DownLoader.63553 - видалений
В общем сделал логи согласно Вашей инструкции, посмотрите пож-та, может Вы найдёте, где этот неизвестный пожиратель трафика прячеться... :-)
Последний раз редактировалось ibn; 13.07.2008 в 09:48.
Причина: оформление...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После выполнения скрипта компьютер начал было перезагружаться и повис (иконки исчезли, осталась голая картинка десктопа). Пришлось помочь княпкой RESET.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\~.exe','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\I9L2VAL0\load[1].exe','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\5R33TXKE\load[1].exe','');
BC_DeleteSvc('Winta41');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winta41.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\docume~1\user\locals~1\temp\winympivpi.exe','');
DeleteFile('c:\docume~1\user\locals~1\temp\winympivpi.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winta41.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\5R33TXKE\load[1].exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\I9L2VAL0\load[1].exe');
DeleteFile('C:\WINDOWS\system32\~.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Профиксил, подключился к инету с помощью модемного соединения, вроде бы пока тишина... Отключился от модема, подключился по локалке к инету. Что-то идёт, но не могу понять что... %(
IMON НОДа постояно сканит следующее: http://192.168.0.1:2869/upnphost/udhisapi.dll , т.е. кол-во проверенных фалов каждую секунду постоянно растёт, но инфицированных - 0,
а AMON тоже каждую секунду сканит какие tmp файлы (типа вот такого IH1FD.tmp)/ Но может это фон сетки внутренней, потому как на машинке, кот. раздаёт инет в локалку вход.и исходящий трафик стоят на месте когда по инету не лазишь... Вот такая вот ситуация...
Высылаю итоговые логи для контрольного выстрела ... ;-):
Понял, ок, проблема ушла, надеюсь надолго,
по крайней мере сеёчас уже нету того постоянного приёмо-передающего шпиёна... :-)
Огромное Вам Человеческое Спасибо за помощь!!!
Здорово вы всё таки разбираетесь в этом всём...
Молодцы ребята, хэлперы!!!
А если не секрет, что ж это был за обжора инет траффика ?
c:\\documents and settings\\user\\local settings\\temporary internet files\\content.ie5\\i9l2val0\\load[1].exe - Trojan-Downloader.Win32.Mutant.amd (DrWEB: Trojan.DownLoad.932)
c:\\documents and settings\\user\\local settings\\temporary internet files\\content.ie5\\5r33txke\\load[1].exe - Trojan-Downloader.Win32.Mutant.amd (DrWEB: Trojan.DownLoad.932)
c:\\documents and settings\\user\\local settings\\temp\\winympivpi.exe - Trojan-Downloader.Win32.Mutant.amd (DrWEB: Trojan.DownLoad.932)
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: