Лечил - но видимо не долечил

**drexster** · 02.09.2010, 22:47

Обнаружил большой расход трафика на скачивание, хотя ничего и не качал (доходило до 500 КБ/сек).
Лечил CureIt-ом. Он нашел вот такую бяку "Trojan.Proxy.18268". В сети по этому трояну почти ничего не нашел. После лечения расход трафика прекратился, но. После появления вот этого:

траффик опять начинает расходоваться, правда, не в таких огромных размерах, но все же (10 КБ/сек). И главное идет беспрерывно.
Вот и сдается мне, что оно не долечилось. А вот что делать ... ?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**olejah** · 02.09.2010, 23:02

А вот прочитать правила оформления запроса о помощи.

**drexster** · 03.09.2010, 01:01

Прочитал!

**olejah** · 03.09.2010, 06:56

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

R3 - URLSearchHook: (no name) -  - (no file)

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('c:\windows\tbpanel.exe');
 QuarantineFile('c:\windows\tbpanel.exe','');
 DeleteService('lfjcpv');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 QuarantineFile('C:\WINDOWS\Rcajua.exe','');
 QuarantineFile('C:\DOCUME~1\Yura\LOCALS~1\Temp\Rjd.exe','');
 DeleteFile('C:\DOCUME~1\Yura\LOCALS~1\Temp\Rjd.exe');
 DeleteFile('C:\WINDOWS\Rcajua.exe');
 DeleteFile('C:\WINDOWS\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
 DeleteFile('C:\WINDOWS\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 BC_DeleteSvc('lfjcpv');  
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Сделайте лог Гмер

**drexster** · 04.09.2010, 03:00

Olejah, все сделал согласно Вашей директиве.

**olejah** · 04.09.2010, 07:09

Лог Гмер получился неполным, кнопку Scan нажимали?

**drexster** · 04.09.2010, 13:10

Лог Гмер получился неполным, кнопку Scan нажимали?

Не-а, не нажимал.
Ибо, этого и не нужно было делать. Он когда нашел эту гадость, то сам спросил - продолжить сканировать, аль нет. Я дал команду продолжить. Гмер чесно, но долго, досканировал до конца, однако, по моему разумению, больше ничего не нашел, т.к. небыло надписей красными чернилами. Далее я, согласно инструкции, той которая не знакомится, нажал кнопку "Save". Выскочил курсор в виде песочных часов и провисел так около 1,5 часа. Я перегрузил комп и проделал операцию еще раз. Результат оказался тот же. Я в третий раз перегрузил комп, но когда Гмер нашел заразу и спросил сканировать ли мне далее, я ответил "Нет". После чего нажал кнопку "Save", получил лог и выслал его Вам.
Olejah, каким образом мне действовать дальше?

**olejah** · 04.09.2010, 13:28

- Сохраните текст ниже как 1.bat в ту же папку, где находится ro6j37v9.exe(GMER) и запустите этот батник(1.bat):

Код:

ro6j37v9.exe -del service pdjah
ro6j37v9.exe -reboot

Компьютер перезагрузится.

После перезагрузки:
- Сделайте новый лог Gmer причём постарайтесь полностью сделать

**drexster** · 04.09.2010, 14:19

Сохраните текст ниже как 1.bat в ту же папку, где находится ro6j37v9.exe(GMER)

Ды, на рабочем столе он у меня находится!
Засунуть его в какую нибудь папку?

**olejah** · 04.09.2010, 14:21

Запускайте с рабочего стола.

**drexster** · 04.09.2010, 17:36

Готово!

**olejah** · 04.09.2010, 18:28

Теперь повторите логи АВЗ

**drexster** · 04.09.2010, 20:42

Пожалуйста!

**olejah** · 04.09.2010, 20:47

Имелось ввиду логи, как в первом сообщении.

**drexster** · 04.09.2010, 22:42

Исправил, как в первом сообщении.

**olejah** · 04.09.2010, 22:50

Выполните скрипт в АВЗ в безопасном режиме -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\DOCUME~1\Yura\LOCALS~1\Temp\Rjd.exe');
 DeleteFile('C:\WINDOWS\Rcajua.exe');
 DeleteFile('C:\WINDOWS\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
 DeleteFile('C:\WINDOWS\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job');  
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

- Повторите лог virusinfo_syscheck.zip

**drexster** · 04.09.2010, 23:30

Выполните скрипт в АВЗ в безопасном режиме -

А как, именно?

**olejah** · 07.09.2010, 12:35

Как загружаться в безопасном режиме (Safe Mode)

**drexster** · 18.09.2010, 14:43

Знаить так, первое:
инструкция по переводу компа в безопасный режим, ИМХО, не полная. У меня F8 не прокатило, а F5.
Второе:
АВЗ в безопасном режиме отказался работать с данным скриптом

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\DOCUME~1\Yura\LOCALS~1\Temp\Rjd.exe');
 DeleteFile('C:\WINDOWS\Rcajua.exe');
 DeleteFile('C:\WINDOWS\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
 DeleteFile('C:\WINDOWS\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job');  
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

Вернее работать он начал - но секунд через 20-30 все закрылось, комп сам перегрузился и перешел в нормальный режим. Вторая попытка запустить АВЗ в безопасном режиме, дала тот же результат.
Край.