-
Junior Member
- Вес репутации
- 53
Вирус, кушающий исходящий трафик и создающий другие проблемы с Интернетом
Вкратце хронология:
1. Нет подключения, при попытке подключиться к Сети, пишет "модем не настроен или занят другим приложением", а так же "ошибку 800". Ответ провайдера - вирус, лечится НОДом 32. Касперский полностью удален, поставлен и обновлён НОД 32 версии 3. Сканирование ничего не нашло, но проблема исчезла на длительное время.
2. Есть подключение, но через 1-5 минут перестают грузиться страницы и прочая информацию, связь не разрывается. Но при попытке переподключиться "Ошибка 800". После перезагрузки проходит опять на 1-5 минут. Так же была вот точно такая проблема http://virusinfo.info/showthread.php?t=53865 с файлом azenv.php и сообщения НОДа о том, что почти все ЕХЕ файлы заражены трояном Win32/Polipos.
Лечилось CureIt, понаходил кучу всего и почти все вылечил остальное удалил, после чего эта проблема исчезло.
3. Появление в подключениях подключения под названием z-connect. После чего разрыв связи и невозможность повторно подключиться. Удаление этого подключения, перезагрузка, пару минут в Сети, обрыв связи и снова этот z-connect, который потом пропал...
4. И самое основное что беспокоит: исходящий трафик просто начал зашкаливать 1.5 Гб за 12 минут было отослано с моего ПК в Сеть. При подключении или сразу же или через пару минут счетчик исходящего трафика начинал просто мелькать. Была поставлена программа Outpost Firewall Pro, которая стабилизировала проблему, уходит теперь всего мб 10 в час лишних наверное, и показала бесмерное количество процессов SVCHOST, открывающих до 1200 подключений, которые она и блокирует.
Если что с темой моей не так, заранее прошу прощения, но правила читал и старался сделать как надо
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\zLBT.exe','');
QuarantineFile('C:\WINDOWS\system32\RtmqtlC.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4417188066-1447157373-158449798-3929\mwau.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\qtwsykxb.sys','');
QuarantineFile('C:\Documents and Settings\Scorpion83\fixvw.exe','');
DeleteFile('C:\Documents and Settings\Scorpion83\fixvw.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\qtwsykxb.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-4417188066-1447157373-158449798-3929\mwau.exe');
DeleteFile('C:\WINDOWS\system32\drivers\zLBT.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('qtwsykxb');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=55822).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Сделал. Фаерволл все равно показывает наличие SVCHOST правда теперь максимум 680 шт, а так 117...
-
Junior Member
- Вес репутации
- 53
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\Documents and Settings\Scorpion83\fixvw.exe \s
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\RtmqtlC.dll');
DeleteFile('C:\Documents and Settings\Scorpion83\fixvw.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Повторите п.2 и 3 раздела Диагностика.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Теперь вроде бы все нормально. Прилагаю логи.
-
Выполните скрипт в AVZ
Код:
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Больше ничего плохого
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\rtmqtlc.dll - Backdoor.Win32.Agent.aktk ( DrWEB: BackDoor.Siggen.932, BitDefender: Backdoor.PcClient.TFN, AVAST4: Win32:PcClient-ZE [Trj] )
-