жрется траффик

**oleg_r** · 31.10.2009, 15:04

Всем доброго!

у меня сразу жрется траффик после подключения к интернету, хотя ни одно из приложений, использующих интернет еще не запущено, появляются файлы типа 5.tmp в папке system32, вылетают окна с сообщениями "инструкция по адресу "0х000000000"" обратилась по адресу "0х000000000". Память не может быть "read", OK - завершение приложения, Отмена - отладка."

CureIt выловил много вирусов но обезвредить свех не смог, например файл restorer_32a.exe появился вновь.
Менеджер процессов показывает намного большее количество svchost.exe чем было ранее.

операционка w2000pro sp4.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Шапельский Александр** · 31.10.2009, 15:25

Скачайте новый АВЗ, обновите базы,затем
закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINNT\TEMP\BNA.tmp','');
 QuarantineFile('C:\Program Files\Internet Explorer\DW15.EXE','');
 QuarantineFile('C:\WINNT\system32\.\6.tmp','');
 QuarantineFile('C:\WINNT\system32\9.tmp','');
 QuarantineFile('C:\WINNT\Fonts\services.exe','');
 DeleteFile('C:\WINNT\Fonts\services.exe');
 DeleteFile('C:\WINNT\system32\9.tmp');
 DeleteFile('C:\WINNT\system32\.\6.tmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','3646');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
 DeleteFile('C:\WINNT\TEMP\BNA.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению

**oleg_r** · 04.11.2009, 12:49

К сожалению без моего участия домочадцы включали сеть, поэтому наверное придется все с начала пробовать?

Сейчас закачаю запрошенный карантин в шапке темы.

**Белый Сокол** · 04.11.2009, 12:52

Закачайте карантин и делайте новые логи.

**oleg_r** · 04.11.2009, 13:34

закачал карантин и сделал новые логи.

**Шапельский Александр** · 04.11.2009, 14:13

Отключите восстановление системы!
Пролечитесь, как описано здесь http://virusinfo.info/showthread.php?t=15927

**oleg_r** · 05.11.2009, 03:23

насколько я ориентируюсь, в win2000 восстановления нет, и на вирусинфо не упоминалось, как отключать.

закачанный карантин чем-то помог? какие будут следующие попытки?

**Шапельский Александр** · 05.11.2009, 09:53

Сообщение от oleg_r

насколько я ориентируюсь, в win2000 восстановления нет, и на вирусинфо не упоминалось, как отключать.

Это я недоглядел.

Сообщение от shapel

Пролечитесь, как описано здесь http://virusinfo.info/showthread.php?t=15927

Вы выполнили это? Если да, тогда пожалуйста сделайте новые логи и прикрепите к новому сообщению.

**oleg_r** · 05.11.2009, 12:54

я это смогу выполнить попозже, как доберусь до нормального интернета и смогу на чистой машине скачать требуемые утилиты.

**PavelA** · 05.11.2009, 13:56

Virus.Win32.Virut.ce в карантине был.
Это через AVZ не лечится.

**oleg_r** · 06.11.2009, 12:23

Еще добавлю: при попытках загрузиться в безопасном режиме вылетает синий экран:
STOP: 0x0000007B и т.д.
INACCESSIBLE BOOT DEVICE

хотя в обычном режиме виндоус запускается

**thyrex** · 06.11.2009, 21:12

Выполните скрипт в AVZ

Код:

begin
ExecuteRepair(10);
RebootWindows(true);
end.

Компьютер перезагрузится.

Безопасный режим заработал?

**oleg_r** · 09.11.2009, 13:53

да, безопасный режим запустился.
CureIt, запущенный в безопасном режиме, указал только о изменении файла HOSTS.
Вирусов он не нашел.
Потом я подключился к интернету и опять вылезли окна, описанные в начале темы.
Прикрепляю скрин с появившимися файлами.

**Шапельский Александр** · 09.11.2009, 13:56

Сделайте новые логи и прикрепите к новому сообщению

**thyrex** · 09.11.2009, 14:21

+ к shapel

Такой лог http://virusinfo.info/showpost.php?p=457118&postcount=1 тоже сделайте

**oleg_r** · 09.11.2009, 20:25

сделал новые логи

**thyrex** · 09.11.2009, 22:32

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\Temp\VRT4.tmp','');
 QuarantineFile('C:\WINNT\Temp\VRT3.tmp','');
 QuarantineFile('C:\WINNT\fonts\services.exe','');
 DeleteService('zwbhgqocmoh7');
 QuarantineFile('C:\WINNT\system32\drivers\zrqhdwfxg3.sys','');
 QuarantineFile('C:\WINNT\system32\msxm192z.dll','');
 TerminateProcessByName('c:\winnt\temp\bn1c.tmp');
 QuarantineFile('c:\winnt\temp\bn1c.tmp','');
 TerminateProcessByName('c:\winnt\system32\16.tmp');
 QuarantineFile('c:\winnt\system32\16.tmp','');
 DeleteFile('c:\winnt\system32\16.tmp');
 DeleteFile('c:\winnt\temp\bn1c.tmp');
 DeleteFile('C:\WINNT\system32\msxm192z.dll');
 DeleteFile('C:\WINNT\system32\drivers\zrqhdwfxg3.sys');
 DeleteFile('C:\WINNT\fonts\services.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','21714');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ter8m');
 DeleteFile('C:\WINNT\Temp\VRT3.tmp');
 DeleteFile('C:\WINNT\Temp\VRT4.tmp');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Удалить в МВАМ

Код:

Заражено процессов в памяти:
C:\WINNT\Temp\BN1C.tmp (Trojan.Agent) -> No action taken.

Заражено модулей в памяти:
C:\WINNT\system32\msxm192z.dll (Trojan.Agent) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ter8m (Trojan.Agent) -> No action taken.

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Заражено файлов:
C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\PQ9A2L4W\st[1].txt (Trojan.Dropper) -> No action taken.
C:\WINNT\system32\6.tmp (Trojan.Agent) -> No action taken.
C:\WINNT\system32\7.tmp (Trojan.Agent) -> No action taken.
C:\WINNT\system32\B.tmp (Trojan.Agent) -> No action taken.
C:\WINNT\system32\F.tmp (Trojan.Agent) -> No action taken.
C:\WINNT\system32\msxm192z.dll (Trojan.Agent) -> No action taken.
C:\WINNT\Temp\BN1C.tmp (Trojan.Agent) -> No action taken.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

**oleg_r** · 11.11.2009, 00:15

1. выполнил скрипт для AVZ, комп перезагрузился.
2. потом выполнил все по ссылке "Удалить в MBAM". создан лог MBAM. не разобрался что это был за код под ссылкой "Удалить в MBAM". это ведь копия лога первого, сделанного МБАМ.
3. прислал запрошенный карантин.
4. выполнил новые логи AVZ. HijackThis.

не совсем понял, нужно ли еще раз делать логи MBAM, поэтому высылаю лог MBAM выполненный в п.2.

в system32\ все так же полно всякого вирусного мусора.

**oleg_r** · 11.11.2009, 00:17

я так понимаю, вирусы сидят и в реестре и в файлах и в псевдодрайверах?

**oleg_r** · 11.11.2009, 00:24

после проделанных действий и отосланных логов ситуация вот какая, как во вложенном файле

жрется траффик (заявка № 58881)

Опции темы

жрется траффик

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Похожие темы

Большой траффик

жрёт траффик

Подъедают траффик?..

Большой траффик

Траффик....

Ваши права в разделе