-
Junior Member
- Вес репутации
- 52
Помогите вылечить компы
Добрый день!
С компьютеров идет паразитный трафик интернет (ушло за 2 недели 45Гб трафика, а обычно за месяц около 5). Проверка Антивирусом Касперского и DrWeb Cure it ничего не дала (все чисто).
Проверка AVZ выдала:
Код:
Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 27.04.10 15:53:40
Загружена база: сигнатуры - 271855, нейропрофили - 2, микропрограммы лечения - 56, база от 26.04.2010 14:37
Загружены микропрограммы эвристики: 383
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 196312
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48D0 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
CmpCallCallBacks = 00145448
Disable callback - уже нейтирализованы
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A84D1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 89A2B500 -> перехватчик не определен
Проверка завершена
ВЫполнение правил запроса помощи уже первого пункта займет около 2-3 часов. Есть какие-нибудь мысли?!
Машина не одна такая в локалке, поэтому думаю напряжно будет на всех такое проделывать.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 52
файлы
Посмотрите плиз логи.
virusinfo_cure.zip - имеется в наличии
GMER показал
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-04-27 16:53:33
Windows 5.1.2600 Service Pack 3
Running: 0xjfxgs2.exe; Driver: C:\WINDOWS\TEMP\kgtdapod.sys
---- Disk sectors - GMER 1.0.15 ----
Disk \Device\Harddisk0\DR0 sector 01: copy of MBR
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A84D1F8
AttachedDevice \FileSystem\Ntfs \Ntfs PGPfsfd.sys (PGP FSFD/PGP Corporation)
AttachedDevice \FileSystem\Ntfs \Ntfs amon.sys (Amon monitor/Eset )
Device \FileSystem\Fastfat \Fat 89A2B500
AttachedDevice \FileSystem\Fastfat \Fat PGPfsfd.sys (PGP FSFD/PGP Corporation)
AttachedDevice \FileSystem\Fastfat \Fat amon.sys (Amon monitor/Eset )
---- EOF - GMER 1.0.15 ----
Последний раз редактировалось ElvisPresley; 27.04.2010 в 16:54.
-
Junior Member
- Вес репутации
- 52
Спецы - помогите!
Очень прошу о помощи! Голову сломал уже самостоятельно пытаясь найти проблему.
-
Доброго времени суток
Пофиксите в Hijackthis:
Код:
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\acqspaa.exe','');
DeleteService('RKPFQ');
QuarantineFile('C:\WINDOWS\TEMP\RKPFQ.exe','');
DeleteFile('C:\WINDOWS\TEMP\RKPFQ.exe');
DeleteFile('C:\WINDOWS\TEMP\acqspaa.exe');
DeleteFile('C:\Windows\Tasks\Error scan.job');
BC_ImportALL;
BC_DeleteSvc('RKPFQ');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 52
СПАСИБО что небросили в беде
Выполнил все, как Вы написали.
-
-
-
Junior Member
- Вес репутации
- 52
Решилась судя по всему. Я сам еще до Вашего ответа просмотрел логи от АВЗ и поудалял кое-что (system32\drivers\sppf.sys, sp**.sys), Win\TEMP чистил, но он опять нарастал грязью. За сегодня 300Мб исходящего трафика. Думаю тему можно закрыть, если в последних логах ничего не нашли.
-
Сообщение от
ElvisPresley
кое-что (system32\drivers\sppf.sys, sp**.sys),
это драйвер от Daemon Tools.
выполните процедуру, описанную в первом сообщении.
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
DefesT
это драйвер от Daemon Tools.
выполните
процедуру, описанную в первом сообщении.
Я его не устанавливал. Но то, что после удаления sp**.sys файлов еще sp**.sys файлы появлялялись и после нескольких танцев с бубнами больше сообщений от АВЗ при прогоне скана не было.
Добавлено через 19 минут
Файл сохранён как 100428_185911_virusinfo_files_ELVIS_4bd84d3fc048b. zip
Размер файла 17602564
MD5 08c7876c3ca2e9f42af8bfb935fc678f
Последний раз редактировалось ElvisPresley; 28.04.2010 в 19:04.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-