В ноябре 2008 г. уже была проблема с вирусом
(не обновлялся AVP, на сайте AVP не отображались картинки и блокировалась скачивание файлов).
После обращения к Вам компьютер был вылечен.
В марте проблема повторилась с теми же симптомами
(не обновлялся AVP, на сайте AVP не отображались картинки и блокировалась скачивание файлов).
Интересно, что после вахты (месяц работаю, месяц отдыхаю) апреля месяца в мае, включив компьютер,
обнаружил, что AVP обновляется, на сайте картинки отображаются а скачивание доступно.
Оновив утилиты и их базы провел теститрование системы.
Интересно, это что, модефикация ВИРУСА ???
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Посмотрел предыдущую тему, там тоже были проблемы с настройкой DNS.
В данный момент адреса DNS серверов у вас настроены на автоматическое получение или вписаны вручную?
В любом случае, уточните у своего провайдера, какие должны быть настройки серверов DNS.
Операционная система Windows XP + SP2. Автообновление было отключено.
За неделю до обращения к Вам включил автообновление. Windows предложил
SP3. Согласился. Обновление прошло нормально, даже не спрашивал активацию.
Провел все предложенные обновления.
Установленная программа NetLimiter 2 Monitir
показала, что основное увеличение трафика (входящего) пришлось на программу "System" (процесс 4 и 672)
После консультации у провайдера проверил DNS
должно быть автоматически, фактически - вручную
85.255.116.116,85.255.112.173
Провайдер объяснил что это адрес хохлов и назвал полный адрес с точностью до дома.
Переключился на "автоматически". Переэагрузка.
"автоматически" остался. Но просканировав реестр на 85.255.116.116,85.255.112.173 нашел их в ветви
( в ветви {E2F7EAE7-B853-440F-98C6-AAEED4F4B5FF}
этих значений нет.
Прошу меня извинить, я простой uzer, не претендую на истину в последней инстанции, просто хочу уточнить:
Првильно ли будет, если я удалю
DhcpNameServer с параметром 85.255.116.116,85.255.112.173 или просто параметр?
Ограмное Вам спасибо за то что откликнулись на просьбу о помощи и за указание правильной причины (DNS).
...ControlSet001 хранит предыдущие значения настроек, CurrentControlSet текущие.
удалите значение параметра с неправельным адресом (сделайте его пустым).
Сделайте новый лог HijackThis.
Удалил. Просканировал реестр вручную, ничего не нашел. Лог прикрплен.
Но входящий трафик остался. Что интересно, трафик при пассивном просмотре online (без перехода по ссылкам).
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: (no name) - {9C1B758C-AB58-4F3C-B562-31D9A8FF3129} - (no file)
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
Выполните скрипт в AVZ:
Код:
begin
BC_DeleteSvc('Bwij70');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
P.S. Это всего лишь подчистка реестра. Признаков заражения у вас нет. Входящий трафик может создаваться автообновлением не только Windows, но и других программ.
Выполнено. Трафик похоже в норме. Последнее время постоянно тестировал систему, программа NetLimiter 2 Monitor показывает трафик по приложениям (и скрытых), даже скачивание файлов в разы увеличивало трафик. Обновление AVP отслеживал. Трафик на сайте провайдера (суммарный) подтвержал.
Мне показалось, что трафик прошел в норму (отсутствие трафика при пассивном нахождении в OnLine) после выполнения скрипта PavelA .
Большое спасибо за помощь.
С Уважением Валерий.
P.S. Как обьяснить, что явно зараженный комрьютер (отсутствие обновления AVP и т.д., заражение второй раз, лечение у Вас проходил, признаки знаю прекрасно), начал работать в нормальном режиме через некоторое время после заражения???
Как обьяснить, что явно зараженный комрьютер (отсутствие обновления AVP и т.д., заражение второй раз, лечение у Вас проходил, признаки знаю прекрасно), начал работать в нормальном режиме через некоторое время после заражения???
Если в вашей местной сети был компьютер, зараженный таким трояном, то он бы вызвал похожие симптомы и они бы прошли после излечения того компьютера. При первом обращении сюда у вас был другой троян, который менял настройки только на том компьютере, на котором был запущен.
Сообщение от walery
Будте добры, поясните, что это такое?
полиморфный AVZ
Упрощенно говоря, полиморфный AVZ содержит внутри себя все необходимые базы и поэтому вредоносным программам труднее ему сопротивляться. Кроме того, он реализован на основе более новой версии, чем обычный.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: