-
Junior Member
- Вес репутации
- 53
жрется траффик
Всем доброго!
у меня сразу жрется траффик после подключения к интернету, хотя ни одно из приложений, использующих интернет еще не запущено, появляются файлы типа 5.tmp в папке system32, вылетают окна с сообщениями "инструкция по адресу "0х000000000"" обратилась по адресу "0х000000000". Память не может быть "read", OK - завершение приложения, Отмена - отладка."
CureIt выловил много вирусов но обезвредить свех не смог, например файл restorer_32a.exe появился вновь.
Менеджер процессов показывает намного большее количество svchost.exe чем было ранее.
операционка w2000pro sp4.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте новый АВЗ, обновите базы,затем
закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\TEMP\BNA.tmp','');
QuarantineFile('C:\Program Files\Internet Explorer\DW15.EXE','');
QuarantineFile('C:\WINNT\system32\.\6.tmp','');
QuarantineFile('C:\WINNT\system32\9.tmp','');
QuarantineFile('C:\WINNT\Fonts\services.exe','');
DeleteFile('C:\WINNT\Fonts\services.exe');
DeleteFile('C:\WINNT\system32\9.tmp');
DeleteFile('C:\WINNT\system32\.\6.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','3646');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
DeleteFile('C:\WINNT\TEMP\BNA.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 53
К сожалению без моего участия домочадцы включали сеть, поэтому наверное придется все с начала пробовать?
Сейчас закачаю запрошенный карантин в шапке темы.
-
Закачайте карантин и делайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
закачал карантин и сделал новые логи.
-
Отключите восстановление системы!
Пролечитесь, как описано здесь http://virusinfo.info/showthread.php?t=15927
-
-
Junior Member
- Вес репутации
- 53
насколько я ориентируюсь, в win2000 восстановления нет, и на вирусинфо не упоминалось, как отключать.
закачанный карантин чем-то помог? какие будут следующие попытки?
Последний раз редактировалось oleg_r; 05.11.2009 в 03:23.
Причина: Добавлено
-
Сообщение от
oleg_r
насколько я ориентируюсь, в win2000 восстановления нет, и на вирусинфо не упоминалось, как отключать.
Это я недоглядел.
Сообщение от
shapel
Вы выполнили это? Если да, тогда пожалуйста сделайте новые логи и прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
я это смогу выполнить попозже, как доберусь до нормального интернета и смогу на чистой машине скачать требуемые утилиты.
-
Virus.Win32.Virut.ce в карантине был.
Это через AVZ не лечится.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Еще добавлю: при попытках загрузиться в безопасном режиме вылетает синий экран:
STOP: 0x0000007B и т.д.
INACCESSIBLE BOOT DEVICE
хотя в обычном режиме виндоус запускается
-
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(10);
RebootWindows(true);
end.
Компьютер перезагрузится.
Безопасный режим заработал?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
да, безопасный режим запустился.
CureIt, запущенный в безопасном режиме, указал только о изменении файла HOSTS.
Вирусов он не нашел.
Потом я подключился к интернету и опять вылезли окна, описанные в начале темы.
Прикрепляю скрин с появившимися файлами.
-
Сделайте новые логи и прикрепите к новому сообщению
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\Temp\VRT4.tmp','');
QuarantineFile('C:\WINNT\Temp\VRT3.tmp','');
QuarantineFile('C:\WINNT\fonts\services.exe','');
DeleteService('zwbhgqocmoh7');
QuarantineFile('C:\WINNT\system32\drivers\zrqhdwfxg3.sys','');
QuarantineFile('C:\WINNT\system32\msxm192z.dll','');
TerminateProcessByName('c:\winnt\temp\bn1c.tmp');
QuarantineFile('c:\winnt\temp\bn1c.tmp','');
TerminateProcessByName('c:\winnt\system32\16.tmp');
QuarantineFile('c:\winnt\system32\16.tmp','');
DeleteFile('c:\winnt\system32\16.tmp');
DeleteFile('c:\winnt\temp\bn1c.tmp');
DeleteFile('C:\WINNT\system32\msxm192z.dll');
DeleteFile('C:\WINNT\system32\drivers\zrqhdwfxg3.sys');
DeleteFile('C:\WINNT\fonts\services.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','21714');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ter8m');
DeleteFile('C:\WINNT\Temp\VRT3.tmp');
DeleteFile('C:\WINNT\Temp\VRT4.tmp');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Удалить в МВАМ
Код:
Заражено процессов в памяти:
C:\WINNT\Temp\BN1C.tmp (Trojan.Agent) -> No action taken.
Заражено модулей в памяти:
C:\WINNT\system32\msxm192z.dll (Trojan.Agent) -> No action taken.
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ter8m (Trojan.Agent) -> No action taken.
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Заражено файлов:
C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\PQ9A2L4W\st[1].txt (Trojan.Dropper) -> No action taken.
C:\WINNT\system32\6.tmp (Trojan.Agent) -> No action taken.
C:\WINNT\system32\7.tmp (Trojan.Agent) -> No action taken.
C:\WINNT\system32\B.tmp (Trojan.Agent) -> No action taken.
C:\WINNT\system32\F.tmp (Trojan.Agent) -> No action taken.
C:\WINNT\system32\msxm192z.dll (Trojan.Agent) -> No action taken.
C:\WINNT\Temp\BN1C.tmp (Trojan.Agent) -> No action taken.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Последний раз редактировалось thyrex; 09.11.2009 в 22:41.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
1. выполнил скрипт для AVZ, комп перезагрузился.
2. потом выполнил все по ссылке "Удалить в MBAM". создан лог MBAM. не разобрался что это был за код под ссылкой "Удалить в MBAM". это ведь копия лога первого, сделанного МБАМ.
3. прислал запрошенный карантин.
4. выполнил новые логи AVZ. HijackThis.
не совсем понял, нужно ли еще раз делать логи MBAM, поэтому высылаю лог MBAM выполненный в п.2.
в system32\ все так же полно всякого вирусного мусора.
-
Junior Member
- Вес репутации
- 53
я так понимаю, вирусы сидят и в реестре и в файлах и в псевдодрайверах?
-
Junior Member
- Вес репутации
- 53
после проделанных действий и отосланных логов ситуация вот какая, как во вложенном файле