Показано с 1 по 19 из 19.

червяк (заявка № 30817)

  1. #1
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    37
    Вес репутации
    58

    червяк

    Каждые 2-5 минут звук как при ошибке (самой ошибке нет) Так же улетает траффик
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Пофиксите
    Код:
    F2 - REG:system.ini: Shell=explorer.exe                                                                                                                                                                                                                                          "C:\Program Files\Common Files\System\Sony_Software_PreLoad.exe"
    Повторите логи по п. 2 и 3 Диагностики.

  4. #3
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    37
    Вес репутации
    58
    еще заметил 2 новых svchost.exe в процесах и iexplorer.exe от SYSTEM. Так же тормозит браузер, а иногда даже не открывает страницу

    новые логи прилагаю
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\system32\Drivers\ati5eixx.sys
    Скопированные с помощью IceSword файлы сохраните в папке ..avz\quarantine\ .Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\ati5eixx.sys','');
     QuarantineFile('C:\Program Files\Common Files\System\ppp lr30.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Adobe Office PreLoad.exe','');
     DeleteService('tcpsr');
     DeleteService('ati5eixx');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\ati5eixx.sys');
     DeleteFile('C:\Program Files\Common Files\System\ppp lr30.dll');
     DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Adobe Office PreLoad.exe');
     DelBHO('{81948351-1431-00E5-5467-99ca3230262a}');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('tcpsr');
     BC_DeleteSvc('ati5eixx');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    37
    Вес репутации
    58
    карантин отправил (в архив с карантином добавил файл ati5eixx.sys (название atixxx))

    логи прилагаю

    з.ы. трафик все равно куда-то уходит
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Когда Вы планируете обновить базы АВЗ - к Новому Году или уже ближе к Пасхе???

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('tcpsr');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Cpl32ver.exe');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('tcpsr');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам.
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    37
    Вес репутации
    58
    скрипт выполнил, логи прилагаю. Подключился к интернету - сразу же нвоый процесс iexplorer.exe от SYSTEM. Интернет отключил, этот процесс на 50% загрузил компьютер и около 200мб памяти скушал

    p.s. базы обновил )
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    скачайте C:\WINDOWS\System32\Drivers\ati1gdxx.sys - force delete
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati1gdxx.sys','');
     DeleteService('ati1gdxx');
     QuarantineFile('C:\WINDOWS\system32\Drivers\ati1gdxx.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\ati1gdxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati1gdxx.sys');
     DeleteFile('C:\System Volume Information\_restore{8BEE8374-6B58-48F5-864C-3DF6CFC73361}\RP17\A0011272.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 2 правил
    повторите логи

  10. #9
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    37
    Вес репутации
    58
    Карантин отправил, логи прилагаю. Вроде бы процессов подозрительных нет, но траффик по-моему куда все равно уходит
    Вложения Вложения

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('ati1gdxx');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati1gdxx.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('ati1gdxx');      
    BC_Activate;
    ExecuteRepair(6 );
    ExecuteRepair(17 );    
    RebootWindows(true);
    end.
    Повторите логи...

  12. #11
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    37
    Вес репутации
    58
    скрипт выполнил, логи прилагаю
    Вложения Вложения

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    В логах чисто,жалобы есть?

  14. #13
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    37
    Вес репутации
    58
    жалобы те же - трафик уходит. Потом вообще не открылся Интернет Експлорер. сделал еще раз логи и просто был удивлен. Логи прилагаю
    Вложения Вложения

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите
    Код:
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    как вы определили что уходит трафик ?

  16. #15
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    37
    Вес репутации
    58
    при включение интернета сразу же происходит активность. буквально каждую секунду принимается 1-5кб. Отключены все программы, автоматическое обновление, аська и т.д.

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    какая программа показывает активность ?

  18. #17
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    37
    Вес репутации
    58
    Состояние интернета.

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    поставте фаервол тот же comodo ... тогда будет предметный разговор
    "подключение " показывает не килобайты а пакеты , почувствуйте разницу ...
    пакеты должны ходить даже если ничего не качается - это нормально .....

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 24
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\adobe office preload.exe - Trojan.Win32.Agent.aeut
      2. c:\\program files\\common files\\system\\ppp lr30.dll - Trojan.Win32.Agent.aeuu (DrWEB: Trojan.GhostSpy.87)
      3. c:\\system volume information\\_restore{8bee8374-6b58-48f5-864c-3df6cfc73361}\\rp17\\a0011272.exe - Trojan.Win32.Agent.aecq (DrWEB: BackDoor.Bulknet.239)
      4. \\2008-09-25\\atixxx - Rootkit.Win32.Protector.as (DrWEB: BackDoor.Bulknet.240)


  • Уважаемый(ая) IceK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Спамерский сетевой червяк
      От snusnumrik в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 23.05.2010, 13:05
    2. Червяк?
      От Ir4i в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.09.2009, 14:14
    3. vb.njo червяк
      От sakhalin в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.06.2008, 13:56
    4. червяк и троян
      От krizz в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.03.2008, 22:40
    5. Червяк W32/Elile.B
      От Logan в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.02.2007, 22:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00818 seconds with 18 queries