Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 33.

жрется траффик (заявка № 58881)

  1. #1
    Junior Member Репутация
    Регистрация
    31.10.2009
    Сообщений
    17
    Вес репутации
    26

    Cool жрется траффик

    Всем доброго!

    у меня сразу жрется траффик после подключения к интернету, хотя ни одно из приложений, использующих интернет еще не запущено, появляются файлы типа 5.tmp в папке system32, вылетают окна с сообщениями "инструкция по адресу "0х000000000"" обратилась по адресу "0х000000000". Память не может быть "read", OK - завершение приложения, Отмена - отладка."

    CureIt выловил много вирусов но обезвредить свех не смог, например файл restorer_32a.exe появился вновь.
    Менеджер процессов показывает намного большее количество svchost.exe чем было ранее.

    операционка w2000pro sp4.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Скачайте новый АВЗ, обновите базы,затем
    закройте/выгрузите все программы кроме AVZ .
    Отключите:
    - ПК от интернета/локалки;
    - антивирус и файрвол.;
    - восстановление системы;
    - выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINNT\TEMP\BNA.tmp','');
     QuarantineFile('C:\Program Files\Internet Explorer\DW15.EXE','');
     QuarantineFile('C:\WINNT\system32\.\6.tmp','');
     QuarantineFile('C:\WINNT\system32\9.tmp','');
     QuarantineFile('C:\WINNT\Fonts\services.exe','');
     DeleteFile('C:\WINNT\Fonts\services.exe');
     DeleteFile('C:\WINNT\system32\9.tmp');
     DeleteFile('C:\WINNT\system32\.\6.tmp');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','3646');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
     DeleteFile('C:\WINNT\TEMP\BNA.tmp');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится
    После выполнить:
    - включите антивирус и файрволл
    - подключите ПК к интернету/локалке
    - закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению

  4. #3
    Junior Member Репутация
    Регистрация
    31.10.2009
    Сообщений
    17
    Вес репутации
    26
    К сожалению без моего участия домочадцы включали сеть, поэтому наверное придется все с начала пробовать?

    Сейчас закачаю запрошенный карантин в шапке темы.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    200
    Закачайте карантин и делайте новые логи.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  6. #5
    Junior Member Репутация
    Регистрация
    31.10.2009
    Сообщений
    17
    Вес репутации
    26
    закачал карантин и сделал новые логи.
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Отключите восстановление системы!
    Пролечитесь, как описано здесь http://virusinfo.info/showthread.php?t=15927

  8. #7
    Junior Member Репутация
    Регистрация
    31.10.2009
    Сообщений
    17
    Вес репутации
    26
    насколько я ориентируюсь, в win2000 восстановления нет, и на вирусинфо не упоминалось, как отключать.

    закачанный карантин чем-то помог? какие будут следующие попытки?
    Последний раз редактировалось oleg_r; 05.11.2009 в 03:23. Причина: Добавлено

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Цитата Сообщение от oleg_r Посмотреть сообщение
    насколько я ориентируюсь, в win2000 восстановления нет, и на вирусинфо не упоминалось, как отключать.
    Это я недоглядел.

    Цитата Сообщение от shapel Посмотреть сообщение
    Пролечитесь, как описано здесь http://virusinfo.info/showthread.php?t=15927
    Вы выполнили это? Если да, тогда пожалуйста сделайте новые логи и прикрепите к новому сообщению.

  10. #9
    Junior Member Репутация
    Регистрация
    31.10.2009
    Сообщений
    17
    Вес репутации
    26
    я это смогу выполнить попозже, как доберусь до нормального интернета и смогу на чистой машине скачать требуемые утилиты.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Virus.Win32.Virut.ce в карантине был.
    Это через AVZ не лечится.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    31.10.2009
    Сообщений
    17
    Вес репутации
    26
    Еще добавлю: при попытках загрузиться в безопасном режиме вылетает синий экран:
    STOP: 0x0000007B и т.д.
    INACCESSIBLE BOOT DEVICE

    хотя в обычном режиме виндоус запускается

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteRepair(10);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Безопасный режим заработал?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    31.10.2009
    Сообщений
    17
    Вес репутации
    26
    да, безопасный режим запустился.
    CureIt, запущенный в безопасном режиме, указал только о изменении файла HOSTS.
    Вирусов он не нашел.
    Потом я подключился к интернету и опять вылезли окна, описанные в начале темы.
    Прикрепляю скрин с появившимися файлами.
    Изображения Изображения
    • Тип файла: jpg info.jpg (107.4 Кб, 12 просмотров)

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Сделайте новые логи и прикрепите к новому сообщению

  16. #15
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    + к shapel

    Такой лог http://virusinfo.info/showpost.php?p=457118&postcount=1 тоже сделайте
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  17. #16
    Junior Member Репутация
    Регистрация
    31.10.2009
    Сообщений
    17
    Вес репутации
    26
    сделал новые логи
    Вложения Вложения

  18. #17
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINNT\Temp\VRT4.tmp','');
     QuarantineFile('C:\WINNT\Temp\VRT3.tmp','');
     QuarantineFile('C:\WINNT\fonts\services.exe','');
     DeleteService('zwbhgqocmoh7');
     QuarantineFile('C:\WINNT\system32\drivers\zrqhdwfxg3.sys','');
     QuarantineFile('C:\WINNT\system32\msxm192z.dll','');
     TerminateProcessByName('c:\winnt\temp\bn1c.tmp');
     QuarantineFile('c:\winnt\temp\bn1c.tmp','');
     TerminateProcessByName('c:\winnt\system32\16.tmp');
     QuarantineFile('c:\winnt\system32\16.tmp','');
     DeleteFile('c:\winnt\system32\16.tmp');
     DeleteFile('c:\winnt\temp\bn1c.tmp');
     DeleteFile('C:\WINNT\system32\msxm192z.dll');
     DeleteFile('C:\WINNT\system32\drivers\zrqhdwfxg3.sys');
     DeleteFile('C:\WINNT\fonts\services.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','21714');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ter8m');
     DeleteFile('C:\WINNT\Temp\VRT3.tmp');
     DeleteFile('C:\WINNT\Temp\VRT4.tmp');
    DeleteFileMask('%Tmp%', '*.*', true);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Удалить в МВАМ
    Код:
    Заражено процессов в памяти:
    C:\WINNT\Temp\BN1C.tmp (Trojan.Agent) -> No action taken.
    
    Заражено модулей в памяти:
    C:\WINNT\system32\msxm192z.dll (Trojan.Agent) -> No action taken.
    
    Заражено значений реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ter8m (Trojan.Agent) -> No action taken.
    
    Заражено параметров реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
    
    Заражено файлов:
    C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\PQ9A2L4W\st[1].txt (Trojan.Dropper) -> No action taken.
    C:\WINNT\system32\6.tmp (Trojan.Agent) -> No action taken.
    C:\WINNT\system32\7.tmp (Trojan.Agent) -> No action taken.
    C:\WINNT\system32\B.tmp (Trojan.Agent) -> No action taken.
    C:\WINNT\system32\F.tmp (Trojan.Agent) -> No action taken.
    C:\WINNT\system32\msxm192z.dll (Trojan.Agent) -> No action taken.
    C:\WINNT\Temp\BN1C.tmp (Trojan.Agent) -> No action taken.
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Последний раз редактировалось thyrex; 09.11.2009 в 22:41.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  19. #18
    Junior Member Репутация
    Регистрация
    31.10.2009
    Сообщений
    17
    Вес репутации
    26
    1. выполнил скрипт для AVZ, комп перезагрузился.
    2. потом выполнил все по ссылке "Удалить в MBAM". создан лог MBAM. не разобрался что это был за код под ссылкой "Удалить в MBAM". это ведь копия лога первого, сделанного МБАМ.
    3. прислал запрошенный карантин.
    4. выполнил новые логи AVZ. HijackThis.

    не совсем понял, нужно ли еще раз делать логи MBAM, поэтому высылаю лог MBAM выполненный в п.2.

    в system32\ все так же полно всякого вирусного мусора.
    Вложения Вложения

  20. #19
    Junior Member Репутация
    Регистрация
    31.10.2009
    Сообщений
    17
    Вес репутации
    26
    я так понимаю, вирусы сидят и в реестре и в файлах и в псевдодрайверах?

  21. #20
    Junior Member Репутация
    Регистрация
    31.10.2009
    Сообщений
    17
    Вес репутации
    26
    после проделанных действий и отосланных логов ситуация вот какая, как во вложенном файле
    Изображения Изображения
    • Тип файла: jpg info1.jpg (111.6 Кб, 7 просмотров)

  • Уважаемый(ая) oleg_r, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Большой траффик
      От Denis79 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.12.2010, 15:53
    2. жрёт траффик
      От puntiki в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.11.2008, 18:26
    3. Подъедают траффик?..
      От tresamigos в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 17.11.2008, 02:39
    4. Большой траффик
      От 17_sqrt_2 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 07.11.2008, 16:35
    5. Траффик....
      От kostarosta в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.10.2008, 13:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01656 seconds with 23 queries