-
Junior Member
- Вес репутации
- 52
Подозрительные файлы и утечка траффика
Доброй ночи. Суть двух проблем: периодически (примерно раз в две недели) в папке system32 появляются подозрительные файлы, на которые антивирус никак не реагировал. Эти файлы я тогда сам изолировал, отправлял на анализ и удалял. Последние два были обнаружены с неким процессом в оперативной памяти AcroRd32.exe, или очень похожий на него, имя точно не запомнил, объёмом в 300 МБ. Процесс безболезненно убивался. Техподдержка антивируса заявила, что файлы не опасны. Сейчас два образца я заархивировал и запаролил. На всякий случай проверил их на ВирусТотал. Результаты выложу, если посчитаете нужным, но, согласно правилам, прилагаю только логи.
Кроме того, при подключенных сетях (и к локальной и к интернету) постоянно отправляются и принимаются какие-то байты и пакеты, хотя обращений никаких в этот момент не делается. Раньше такого не наблюдалось. Подозреваю, что эта постоянная отправка/приём и провоцирует появление подозрительных файлов. Может что подскажете?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
F2 - REG:system.ini: UserInit=C:WINDOWSSYSTEM32Userinit.exe,C:WINDOWSsystem3294352ea5.exe,\?g lobalrootsystemrootsystem32GYD4rqW.exe,C:WINDOWSsystem325c82793b.exe,C:WI NDOWSsystem328b9cbbf7.exe,\?globalrootsystemrootsystem32LldMuJU.exe,
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\94352ea5.exe','');
QuarantineFile('C:\WINDOWS\system32\8b9cbbf7.exe','');
QuarantineFile('C:\WINDOWS\system32\5c82793b.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\rockusb.sys','');
DeleteFile('C:\WINDOWS\system32\5c82793b.exe');
DeleteFile('C:\WINDOWS\system32\8b9cbbf7.exe');
DeleteFile('C:\WINDOWS\system32\94352ea5.exe');
QuarantineFile('C:\WINDOWS\system32\GYD4rqW.exe','');
DeleteFile('C:\WINDOWS\system32\GYD4rqW.exe');
QuarantineFile('C:\WINDOWS\system32\LldMuJU.exe','');
DeleteFile('C:\WINDOWS\system32\LldMuJU.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
В HijackThis строку пофиксил,
В AVZ два скрипта выполнил,
То что попалось в карантин посл... загрузил по красной ссылке,
Выкладываю повторные логи, то что просили:
-
-
-
Junior Member
- Вес репутации
- 52
Сделал такой лог.
Я так понимаю, вам нужно вот это?
-
удалить в MBAM
Код:
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Alex\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\NetworkService\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.
Добавлено через 1 минуту
повторите лог MBAM
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Проведите процедуру, которая описана в первом сообщении тут.
Последний раз редактировалось polword; 13.04.2010 в 08:34.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 52
То, что сказали удалил в MBAM. Прикрепляю новый лог.
Процедуру счаз проведём...
По остальным обновлениям есть вопросы.
Например: как выгрузить мой антивирус, если можно только приостановить его работу и процессы в памяти всё равно остаются. На AVZ это не влияет, а на установку Service Pack? И подобные вопросы не к этой теме, конечно.
Последний раз редактировалось Alex4247; 13.04.2010 в 09:46.
-
Сообщение от
Alex4247
как выгрузить мой антивирус
http://virusinfo.info/showthread.php?t=57441
-
-
Junior Member
- Вес репутации
- 52
Это-то понятно. Я говорю про процессы, которые всё равно остаются в памяти.
Просили выполнить скрипт 4. Выполнил. Здесь продублирую:
Файл сохранён как 100413_102925_virusinfo_files_ALEXSOPRANO4429_4bc4 0f4590c84.zip
Размер файла 516939
MD5 30c41fe84dce5160a329680de2efcd86
-
Junior Member
- Вес репутации
- 52
...Или вот этот лог был нужен... Честно говоря сам немного запутался.
-
Процессы установке не помешают, обновляйтесь. А лог МВАМ новый сделайте. Что с проблемами?
-
-
Junior Member
- Вес репутации
- 52
Проблема та же: по локальной сети что-то без моего ведома отправляется/прибывает. За подозрительными файлами посматриваю.
Новый лог MBAM, извините, пока без обновлений.
-
AVZPM- установить драйвер расширенного мониторинга процессов, перезагрузитесь, логи AVZ повторите
-
-
Junior Member
- Вес репутации
- 52
После установки драйвера и перезагрузки, при старте аварийно завершилась работа приложения ESET GUI, после чего антивирус успешно продолжил свою работу. Когда логи были сделаны и проведены повторные перезагрузки, работа приложения GUI больше не нарушалась.
Выложил требуемые логи:
-
В логах ничего подозрительного
-
-
Junior Member
- Вес репутации
- 52
В локальной сети продолжает что-то отправляться/приниматься, иногда вместе с интернетом. Лишние файлы не появлялись; буду следить.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\lldmuju.exe - Trojan-Dropper.Win32.Shiz.be ( DrWEB: Trojan.PWS.Ibank.28, AVAST4: Win32:Malware-gen )
- c:\windows\system32\8b9cbbf7.exe - Trojan-Dropper.Win32.Agent.bvxp ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Rootkit-gen [Rtk] )
-