Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Входящий и исходящий трафик при подключении к internet (заявка № 45061)

  1. #1
    Junior Member Репутация
    Регистрация
    02.09.2008
    Сообщений
    21
    Вес репутации
    57

    Exclamation Входящий и исходящий трафик при подключении к internet

    Добрый день!
    Вчера подхватил заразу, зайдя на инфицированный ресурс. В случае файрфокса предупреждений не было, под интернет эксплорером Antivir возмутился три раза, но несмотря на мои запреты что-то выполнил, после чего задизаблился.
    Наученный горьким опытом, сразу грузанул свежий курейт, он удалил около 7 тел трояна и пару даунлодера.
    Однако после перезагрузки Анивир не стартовал, при подключении к интернету - Входящий и исходящий трафик.
    Запускал toto.pif и 1.bat - иначе никак.
    После выполнения первого скрипта неучтённый входящий и исходящий трафик исчез.
    Файлы прилагаю (снимал под запущенным файрфоксом). Есть и virusinfo_cure.zip
    Заранее благодарен!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\5c69e5.sys','');
     DeleteFile('C:\WINDOWS\System32\drivers\5c69e5.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('5c69e5');
    BC_DeleteSvc('port135sik');
    BC_Activate;
    SetAVZPMStatus(true);
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=45061).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    02.09.2008
    Сообщений
    21
    Вес репутации
    57
    После перезагрузки стартовал Антивир. Обнаружилось новое устройство, система дрова не нашла. Нормальный avz стартовать не смог. Toto при сканировании папки с надёжной прогой на диске с: аварийно завершал работу. Не смог второй раз войти в нет. Перезагрузился. Антивир задизаблен. Проблемную папку перенёс на е:, после чего смог пройти сканирование Toto. Отправил каранин(последний) Логи в аттачах
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SetAVZGuardStatus(True);
    RegKeyStrParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', '%systemroot%\system32\svchost.exe -k netsvcs');
    RegKeyStrParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', '%systemroot%\system32\svchost.exe -k netsvcs');
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новый лог syscheck (только п.2 раздела Диагностика).

    Задание в Планировщик сами ставили?
    Если нет, пришлите по правилам файл C:\Disconnect.txt.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    02.09.2008
    Сообщений
    21
    Вес репутации
    57
    Задание ставил сам.
    Антивир стартанул, но не открывается.
    Нормальный avz стартовать не смог.
    Неизвестное устр-во сохранилось (Root\Legacy_uzm5mjg1\0000)
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Странная ситуация: ничего подозрительного в логах не видно, но что-то препятствует изменениям в реестре.

    "Неизвестное устройство" - это драйвер AVZ.

    Попробуем так: загрузитесь в безопасном режиме, выполните в AVZ стандартный скрипт #6 (удаление драйверов), затем мой последний скрипт. После перезагрузки повторите лог syscheck в обычном режиме.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    02.09.2008
    Сообщений
    21
    Вес репутации
    57
    Выполнил.
    Проблема осталась...
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    02.09.2008
    Сообщений
    21
    Вес репутации
    57
    Как я понял, схожие траблы появляются у многих.
    Проверил комп AVP утилитой. Обнаружен троян в темпе ИЕ.
    Симптомы схожи с http://virusinfo.info/showthread.php?t=45157
    Один раз при попытке переменовать папку в строке появилось testtesttesttesttesttesttesttesttesttesttesttestte sttesttest.....
    Вспомнил, что вскоре после инфицирования винда сказала, что ряд файлов был заменён неизвестными версиями, попросила диск, но диска не оказалось и я отменил восстановление.
    Через некоторое время работы в интернет начинается активное его юзание, сопровождающееся большим исходящим(и входящим) трафиком.
    Антивирус заблокирован. АВЗ = только в виде тото стартует.
    Буду благодарен за помощь!

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Сделайте логи этим AVZ http://depositfiles.com/files/1l35b6hl3
    Последний раз редактировалось Гриша; 06.05.2009 в 12:03.

  11. #10
    Junior Member Репутация
    Регистрация
    02.09.2008
    Сообщений
    21
    Вес репутации
    57
    Сделал логи, как вы и просили!
    Спасибо за помощь!
    Вложения Вложения

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Нужен еще один лог...

  13. #12
    Junior Member Репутация
    Регистрация
    02.09.2008
    Сообщений
    21
    Вес репутации
    57
    Искомый файл получен и приаттачен!
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Эх, прозевали мы одну штукенцию, а ведь она с самого начала была видна!

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\activedsa.exe','');
     DeleteFile('C:\WINDOWS\system32\activedsa.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('CiSvcWmiApSrv');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Затем выполните еще раз скрипт из сообщения #4.
    Пришлите карантин согласно приложению 3 правил.
    Сделайте новые логи.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    02.09.2008
    Сообщений
    21
    Вес репутации
    57
    Выполнил всё скрипты в безопасном режиме.
    Логи снял в нормальном.
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах прогресс налицо.
    Кроме испорченных путей для BITS и wuauserv ничего плохого не вижу.
    Что с проблемами?
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    02.09.2008
    Сообщений
    21
    Вес репутации
    57
    Авира откачалась, обновил, просканил - нашла немного зверья.
    Перезагрузился.
    Запустил AVZ, сделал один лог, подключился к интернет - сделал второй.
    Такое ощущение, что до выполнения скрипта AVZ утечка трафика есть, после - уже нормально...
    Вложения Вложения

  18. #17
    Junior Member Репутация
    Регистрация
    02.09.2008
    Сообщений
    21
    Вес репутации
    57
    поторопился...
    итого -100мб

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Сделайте такой лог http://virusinfo.info/showthread.php?t=40120

  20. #19
    Junior Member Репутация
    Регистрация
    02.09.2008
    Сообщений
    21
    Вес репутации
    57
    Не смог пока запустить - пишет при старте
    Error - Invalid PE image found!

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    А через ваш FreeProxy никто из локалки втихаря не работает?
    I am not young enough to know everything...

  • Уважаемый(ая) Vlad_P, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 15.05.2010, 15:54
    2. входящий/исходящий трафик
      От bAjDa в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 01.07.2009, 18:42
    3. Ответов: 10
      Последнее сообщение: 22.02.2009, 02:42
    4. Ответов: 8
      Последнее сообщение: 22.02.2009, 02:08
    5. входящий и исходящий трафик
      От вит в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.01.2007, 17:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01598 seconds with 20 queries