Помогите! Вирус...

[walery]

В ноябре 2008 г. уже была проблема с вирусом
(не обновлялся AVP, на сайте AVP не отображались картинки и блокировалась скачивание файлов).
После обращения к Вам компьютер был вылечен.
В марте проблема повторилась с теми же симптомами
(не обновлялся AVP, на сайте AVP не отображались картинки и блокировалась скачивание файлов).
Интересно, что после вахты (месяц работаю, месяц отдыхаю) апреля месяца в мае, включив компьютер,
обнаружил, что AVP обновляется, на сайте картинки отображаются а скачивание доступно.
Оновив утилиты и их базы провел теститрование системы.
Интересно, это что, модефикация ВИРУСА ???

[walery]

Увеличился интернет трафик

С Уважением Валерий

[AndreyKa]

Пофиксте в HijackThis строку:

O17 - HKLM\System\CCS\Services\Tcpip\..\{E2F7EAE7-B853-440F-98C6-AAEED4F4B5FF}: NameServer = 85.255.116.116 85.255.112.173

После перезагрузки сделайте новый лог HijackThis и приложите сюда.

Выполните процедуру описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519

[AndreyKa]

Посмотрел предыдущую тему, там тоже были проблемы с настройкой DNS.
В данный момент адреса DNS серверов у вас настроены на автоматическое получение или вписаны вручную?
В любом случае, уточните у своего провайдера, какие должны быть настройки серверов DNS.

[walery]

Операционная система Windows XP + SP2. Автообновление было отключено.
За неделю до обращения к Вам включил автообновление. Windows предложил
SP3. Согласился. Обновление прошло нормально, даже не спрашивал активацию.
Провел все предложенные обновления.

Установленная программа NetLimiter 2 Monitir
показала, что основное увеличение трафика (входящего) пришлось на программу "System" (процесс 4 и 672)

После консультации у провайдера проверил DNS
должно быть автоматически, фактически - вручную
85.255.116.116,85.255.112.173

Провайдер объяснил что это адрес хохлов и назвал полный адрес с точностью до дома.

Переключился на "автоматически". Переэагрузка.
"автоматически" остался. Но просканировав реестр на 85.255.116.116,85.255.112.173 нашел их в ветви

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\T cpip\Parameters\Interfaces\{CCEC136A-206A-4235-A80C-95B7A46BD774}

( в ветви {E2F7EAE7-B853-440F-98C6-AAEED4F4B5FF}
этих значений нет.

Прошу меня извинить, я простой uzer, не претендую на истину в последней инстанции, просто хочу уточнить:
Првильно ли будет, если я удалю
DhcpNameServer с параметром 85.255.116.116,85.255.112.173 или просто параметр?

Ограмное Вам спасибо за то что откликнулись на просьбу о помощи и за указание правильной причины (DNS).

процедуру описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519 выполнил.

С Уважением Валерий.

[AndreyKa]

...ControlSet001 хранит предыдущие значения настроек, CurrentControlSet текущие.
удалите значение параметра с неправельным адресом (сделайте его пустым).
Сделайте новый лог HijackThis.

[walery]

Удалил. Просканировал реестр вручную, ничего не нашел. Лог прикрплен.
Но входящий трафик остался. Что интересно, трафик при пассивном просмотре online (без перехода по ссылкам).

[PavelA]

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\PROGRA~1\Crawler\ctbr.dll','');
 QuarantineFile('Bwij70.sys','');
 SetServiceStart('Bwij70', 4);
 DeleteFile('C:\WINDOWS\system32\DRIVERS\Bwij70.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=46435

[walery]

Логи сделаны.

[Bratez]

Пофиксите в HijackThis:

Код:

O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: (no name) - {9C1B758C-AB58-4F3C-B562-31D9A8FF3129} - (no file)
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)

Выполните скрипт в AVZ:

Код:

begin
BC_DeleteSvc('Bwij70');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

P.S. Это всего лишь подчистка реестра. Признаков заражения у вас нет. Входящий трафик может создаваться автообновлением не только Windows, но и других программ.

[walery]

Выполнено. Трафик похоже в норме. Последнее время постоянно тестировал систему, программа NetLimiter 2 Monitor показывает трафик по приложениям (и скрытых), даже скачивание файлов в разы увеличивало трафик. Обновление AVP отслеживал. Трафик на сайте провайдера (суммарный) подтвержал.
Мне показалось, что трафик прошел в норму (отсутствие трафика при пассивном нахождении в OnLine) после выполнения скрипта PavelA .
Большое спасибо за помощь.

С Уважением Валерий.

P.S. Как обьяснить, что явно зараженный комрьютер (отсутствие обновления AVP и т.д., заражение второй раз, лечение у Вас проходил, признаки знаю прекрасно), начал работать в нормальном режиме через некоторое время после заражения???

[walery]

Будте добры, поясните, что это такое?
полиморфный AVZ

[AndreyKa]

Как обьяснить, что явно зараженный комрьютер (отсутствие обновления AVP и т.д., заражение второй раз, лечение у Вас проходил, признаки знаю прекрасно), начал работать в нормальном режиме через некоторое время после заражения???

Если в вашей местной сети был компьютер, зараженный таким трояном, то он бы вызвал похожие симптомы и они бы прошли после излечения того компьютера. При первом обращении сюда у вас был другой троян, который менял настройки только на том компьютере, на котором был запущен.

Будте добры, поясните, что это такое?
полиморфный AVZ

Упрощенно говоря, полиморфный AVZ содержит внутри себя все необходимые базы и поэтому вредоносным программам труднее ему сопротивляться. Кроме того, он реализован на основе более новой версии, чем обычный.

[walery]

Большое ВСЕМ СПАСИБО. Вопрос решон.
Тема закрыта.
С Уважением Валерий.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 14
• В ходе лечения вредоносные программы в карантинах не обнаружены