Трафик, BackDoor.Bulknet и svhost.exe

**iriska** · 23.08.2008, 21:49

Доброго времени суток.

Некоторое время назад начались большие проблемы с инет трафиком и пропали все деньги с эл. кошелька. Соответственно мысли понеслись в сторону троянов и кейлоггеров. В итоге АВЗ обнаружил и удалил целую кучу BackDoor.Bulknet'ов и прочей ерунды. Но проблемы с трафиком никак не уходили, техпод у провайдера проверил запуск и подтвердил ненормальность ситуации, после чего провекрка Dr.Webb'ом обнаружила еще одну кучу вышенаписанной ерунды(не в карантине АВЗ), хотя ежедневная проверка АВЗ после своей чистки неделю назад замолчала намертво.

Далее, в системных процессах постоянно висит огромное количество svhost.exe. Я понимаю что вещь нужная, но не в количестве же 15-20 процессов при нулевой интернет активности с моей стороны. Причем бывает, что один процесс кушает до 250Мб памяти.

Вообщем либо у меня паника, либо дело не чисто.

Заранее спасибо)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 23.08.2008, 22:54

оставте один антивирус два - очень много ...
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\rsrvmon.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 DeleteService('Yoy68');
 DeleteService('XDva092');
 DeleteService('Winkh58');
 DeleteService('Vtv61');
 DeleteService('Vssk57');
 DeleteService('Uck81');
 DeleteService('Tkm60');
 DeleteService('Tic50');
 DeleteService('tcpsr');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Stn83.sys','');
 DeleteService('Stn83');
 DeleteService('Src47');
 QuarantineFile('C:\WINDOWS\System32\drivers\Src47.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
 DeleteService('smtpdrv');
 DeleteService('Sis81');
 QuarantineFile('C:\WINDOWS\System32\drivers\Sis81.sys','');
 DeleteService('Sak81');
 QuarantineFile('C:\WINDOWS\System32\drivers\rxA46.sys','');
 DeleteService('rxA46');
 DeleteService('riK36');
 QuarantineFile('C:\WINDOWS\System32\drivers\riK36.sys','');
 DeleteService('protect');
 QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
 DeleteService('Pfh36');
 QuarantineFile('C:\WINDOWS\System32\drivers\Pfh36.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Nsu60.sys','');
 DeleteService('Nsu60');
 DeleteService('noskrnl.sys');
 QuarantineFile('C:\WINDOWS\system32\noskrnl.sys','');
 DeleteService('Muf36');
 QuarantineFile('C:\WINDOWS\System32\drivers\Muf36.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Mrd52.sys','');
 DeleteService('Mrd52');
 DeleteService('Ljl36');
 QuarantineFile('C:\WINDOWS\System32\drivers\Ljl36.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Lhj68.sys','');
 DeleteService('Lhj68');
 DeleteService('lcM60');
 QuarantineFile('C:\WINDOWS\System32\drivers\lcM60.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Kyb36.sys','');
 DeleteService('Kyb36');
 QuarantineFile('C:\WINDOWS\System32\drivers\kiK60.sys','');
 DeleteService('kiK60');
 QuarantineFile('C:\WINDOWS\System32\drivers\Kfp58.sys','');
 DeleteService('Kfp58');
 DeleteService('Kac82');
 QuarantineFile('C:\WINDOWS\System32\drivers\Kac82.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Jyb82.sys','');
 DeleteService('Jyb82');
 DeleteService('jxI25');
 QuarantineFile('C:\WINDOWS\System32\drivers\jxI25.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Jrd26.sys','');
 DeleteService('Jrd26');
 DeleteService('Iqs60');
 QuarantineFile('C:\WINDOWS\System32\drivers\Iqs60.sys','');
 DeleteService('Ieo57');
 QuarantineFile('C:\WINDOWS\System32\drivers\Ieo57.sys','');
 DeleteService('hoY60');
 QuarantineFile('C:\WINDOWS\System32\drivers\hoY60.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Fmw02.sys','');
 DeleteService('Fmw02');
 DeleteService('Elv02');
 QuarantineFile('C:\WINDOWS\System32\drivers\Elv02.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Ddf25.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\dcM14.sys','');
 DeleteService('dcM14');
 DeleteService('dcE14');
 QuarantineFile('C:\WINDOWS\System32\drivers\dcE14.sys','');
 DeleteService('Cmg83');
 QuarantineFile('C:\WINDOWS\System32\drivers\Cmg83.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\cbL45.sys','');
 DeleteService('cbL45');
 DeleteService('Brt60');
 QuarantineFile('C:\WINDOWS\System32\drivers\Brt60.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Bpr70.sys','');
 DeleteService('Bpr70');
 DeleteService('Bik58');
 QuarantineFile('C:\WINDOWS\System32\drivers\Bik58.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Awh37.sys','');
 DeleteService('Awh37');
 DeleteFile('C:\WINDOWS\System32\drivers\Awh37.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Bik58.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Bpr70.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Brt60.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\cbL45.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Cmg83.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\dcE14.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\dcM14.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Ddf25.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Elv02.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Fmw02.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\ggI61.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\hoY60.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Ieo57.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Iqs60.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Jrd26.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\jxI25.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Jyb82.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Kac82.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Kfp58.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\kiK60.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Kyb36.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\lcM60.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Lhj68.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Ljl36.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Mrd52.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Muf36.sys');
 DeleteFile('C:\WINDOWS\system32\noskrnl.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Nsu60.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Pfh36.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\riK36.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\rxA46.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Sak81.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Sis81.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Src47.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Stn83.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Tic50.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Tku14.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Tkm60.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tjL03.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Uck81.sys');
 DeleteFile('Vssk57.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Vtv61.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winkh58.sys');
 DeleteFile('C:\WINDOWS\system32\XDva092.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Yoy68.sys');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\rsrvmon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ....

**iriska** · 23.08.2008, 23:48

Готово.
Два антивируса Оо.. вроде DrWebb стоит только.

**V_Bond** · 24.08.2008, 00:22

Сообщение от iriska

Два антивируса Оо.. вроде DrWebb стоит только.

Kaspersky - лежит ? ( в разделе чаво - есть ссылки по удалению антивирусов)
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\ntfyapp.exe','');
 DeleteFile('C:\WINDOWS\ntfyapp.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

**iriska** · 24.08.2008, 01:04

Касперский удалился, спасибо)

Карантин прислать не могу, там пусто.

**V_Bond** · 24.08.2008, 01:12

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('apA03');
 DeleteFile('C:\WINDOWS\System32\drivers\apA03.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи начиная с пункта 10 правил ...

**iriska** · 24.08.2008, 01:21

Готово.

**V_Bond** · 24.08.2008, 01:24

ничего плохого ...

**iriska** · 24.08.2008, 01:27

Ух спасибо) А что было то?) Или ковровая бомбардировка?)

ПС - Интернет стал заметно спокойней)

**CyberHelper** · 22.02.2009, 01:04

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\drivers\\jxi25.sys - Trojan-Downloader.Win32.Mutant.acl

Трафик, BackDoor.Bulknet и svhost.exe (заявка № 28785)

Опции темы

Трафик, BackDoor.Bulknet и svhost.exe

Итог лечения

Похожие темы

BackDoor.Bulknet.507

backdoor.bulknet.417

BackDoor.Bulknet.320

Backdoor.Bulknet

Лечить BackDoor.Bulknet.216

Ваши права в разделе