-
Junior Member
- Вес репутации
- 59
Процесс System и AVP вдвоем на 100% грузят систему, сильный исходящий траффик
Добрый день!
На компьютере установлен Антивирус Касперского для Windows Workstation 6.0. Все было нормально до утра сегодняшнего дня.
1. После перезагрузки системы процесс System (PID 4) и avp.exe стали суммарно на 100% "грузить" процессор с примерными долями 70 и 30 процентов соответвественно.
2. На шлюзе корпоративной сети был выявлен мощный исходящий траффик от данной системы
3. При отключении Касперского активность процесса System также падает до 0%, исходящий траффик также стремится к нулю.
4. Сканирование СureIt выявило Trojan.Download.61684. После удаления файла ситуация не изменилась.
Похоже на то, что то ли к системе, то ли к антивирусу прилипла какая-то нестандартная зараза. Помогите, пожалуйста, ее побороть.
Соответствующие лог-файлы приатачены.
Заранее большое спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в HijackThis
Код:
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
ПК перезагрузите.
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Nups');
DeleteService('Nups');
QuarantineFile('C:\Documents and Settings\Ivan\Application Data\Microsoft\Installer\{D27BDB5D-3B4C-44F0-A648-BD00B0E79B39}\Utility.exe_D27BDB5D3B4C44F0A648BD00B0E79B39.exe','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\nups.sys','');
DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\DRIVERS\nups.sys','');
DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
BC_DeleteSvc('Nups');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=61251).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Карантин выслан, выполнены указания snifer67, впрочем, принципиальных отличий скрипта от Bratez вроде как не заметно. Спасибо за оперативность всем!
Новые лог-файлы приатачены. Пункт 1 тоже выполнил, если не требовалось - скажите!
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Все в порядке, все процессы ведут себя как обычно, исходящий траффик исчез. Вопрос решен.
Спасибо всем!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\nups.sys - Trojan.Win32.Agent.dctm ( DrWEB: Trojan.Spambot.4728, BitDefender: Backdoor.Bot.110591, AVAST4: Win32:Malware-gen )
-