-
плавающий входящий трафик-2
старая тема вот http://virusinfo.info/showthread.php?t=84753 - помечена как вылечено.
Но сегодня снова началось. При подключении к интернет появляются ошибки типа приложение 879.exe выполнило недопустимую операцию и будет закрыто. отправить отчет не отправить.
логи прилагаю.
Последний раз редактировалось Boriasik; 15.12.2010 в 14:21.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Так же при подключении к интернет вот сейчас наблюдаю активность входящих данных.
-
Сообщение от
Boriasik
Но сегодня снова началось.
Platform: Windows XP SP2 (WinNT 5.01.2600)
- удивительно нет
Добавлено через 4 минуты
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Виктория\ctfmon.exe','');
QuarantineFile('C:\WINDOWS\System32\soqjholvs.exe','');
QuarantineFile('C:\Documents and Settings\Виктория\soqjholvs.exe','');
QuarantineFile('C:\Documents and Settings\Виктория\msgvn.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfk50.sys','');
DeleteService('Winfk50');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfk50.sys');
DeleteFile('C:\Documents and Settings\Виктория\msgvn.exe');
DeleteFile('C:\Documents and Settings\Виктория\soqjholvs.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','soqjholvs');
DeleteFile('C:\WINDOWS\System32\soqjholvs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','soqjholvs');
DeleteFile('C:\Documents and Settings\Виктория\ctfmon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Winfk50');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
Последний раз редактировалось polword; 12.08.2010 в 17:58.
Причина: Добавлено
-
-
неудивительно конечно, однако вот уж второй день качаются обновления с сайта microsoft и все никак не докачаются.
-
Сообщение от
Boriasik
однако вот уж второй день качаются обновления с сайта microsoft и все никак не докачаются.
не успели однако....
После лечения будете пытаться снова...
-
-
quarantine.zip загрузил по ссылке сверху шапки темы
логи прикрепил
MBAM отработал, лог также прицепил
Последний раз редактировалось Boriasik; 15.12.2010 в 14:21.
-
1. восстановите файл C:\WINDOWS\system32\Drivers\NDIS.sys на чистый из дистрибутива.
2. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Web\utils\start.exe','');
QuarantineFile('C:\Web\utils\stop.exe','');
QuarantineFile('C:\WINDOWS\system32\ipsecndis.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ntndis.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
3. удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{5b4c3b43-49b6-42a7-a602-f7acdca0d409} (Adware.OneStepSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{f710fa10-2031-3106-8872-93a2b5c5c620} (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{f710fa10-2031-3106-8872-93a2b5c5c620} (Trojan.Agent) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{f710fa10-2031-3106-8872-93a2b5c5c620} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Зараженные папки:
C:\Documents and Settings\Гость\Application Data\wsnpoem (Trojan.Agent) -> No action taken.
C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\blphctefj0e71v.scr (Pup.FakeBlueScreen) -> No action taken.
C:\Documents and Settings\Гость\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Гость\Application Data\wsnpoem\audio.dll.cla (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Гость\Application Data\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\fci.exe.exe (Worm.Zhelatin) -> No action taken.
C:\WINDOWS\system32\icf.exe.exe (Worm.Zhelatin) -> No action taken.
C:\WINDOWS\system32\ipsecndis.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\Drivers\ntndis.sys (Rootkit.Agent) -> No action taken.
- Сделайте повторный лог virusinfo_syscheck.zip
- Сделайте повторные лог MBAM
-
-
После скрипта и удаления в MBAM, все нормализовалось, вот уже несколько дней все спокойно.
Обновления все установил, на днях думаю скриптом проверить, наличие неустановленных апдейтов и доставить их в ручную
Большое спасибо.
p.s. Stop и Start - файлы небольшой программки по недвижимости. Остальный два файла *.sys проверил онлайн касперским - чистые
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\виктория\\ctfmon.exe - P2P-Worm.Win32.Palevo.alho ( DrWEB: Trojan.Packed.20312, BitDefender: Worm.Generic.257958, AVAST4: Win32:Crumpache [Cryp] )
- c:\\documents and settings\\виктория\\msgvn.exe - P2P-Worm.Win32.Palevo.atba ( DrWEB: Trojan.Packed.21552, BitDefender: Win32.Worm.Rimecud.Y, NOD32: Win32/Peerfrag.IB worm, AVAST4: Win32:MalOb-CS [Cryp] )
- c:\\documents and settings\\виктория\\soqjholvs.exe - Packed.Win32.Krap.ao ( DrWEB: Trojan.Proxy.14858, BitDefender: Gen:Variant.Kazy.43, NOD32: Win32/Wigon.KQ trojan, AVAST4: Win32:Ursnif-D [Spy] )
- c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )
- c:\\windows\\system32\\soqjholvs.exe - Packed.Win32.Krap.ao ( DrWEB: Trojan.Proxy.14858, BitDefender: Gen:Variant.Kazy.43, NOD32: Win32/Wigon.KQ trojan, AVAST4: Win32:Ursnif-D [Spy] )
-