Что-то съедает траффик!

Printable View

03.08.2007, 03:01
Vit777

Вложений: 2

Что-то съедает траффик!

Приветствую!
Сегодня при подключении к инету (выделенный) обнаружил, что-то тратит траффик со страшной скоростью по 1Мбт а то и более в минуту. Опишу по порядку, что пытался сделать своими силами.
1. Проверка Вебером в безопасном режиме с загрузкой сетевых файлов (просто безопасный не грузится) дала 4 зараженных вируса (3 удалены один излечен, точно уже не помню бьюсь с этим с 10 утра и голова уже туго варит). До этого проверял Авирой Антивир с обновленной базой она тоже накапала штук 10.
2. Проверял AVZ раз 15 а то и более, если запускать готовые скрипты (как написано в инструкции) или просто проверку возниает синий экран с ошибкой Fastfat.sys - adress f83e4640 base at f83e4000. date stamp 41107eb7. И файлы лог не записываются. Та же ерунда если пытаюсь выполнить скрипт 4. Успел заметить сброс происходит при начале процесса исследования системы. Но при включенном режиме AVZGuard удается пройти при этом куча находится подозрений на маскировку процесса под UF или Rootkite в диспетчере процессов. И так удалось получить хоть какой то лог-файл (его все-таки решил прикрепить он махонький).
3. Проверка HiJackThis - все удачно.
4. И еще одна странность к часам десяти инет перестал поедать траффик как это было утром и днем.
Уже и не знаю что делать. Помогите, плиз! Заранее спасибо.
03.08.2007, 05:46
Muzzle

В безопасном режиме выполните скрипт

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\DOCUME~1\ВИТАЛИЙ\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\Program Files\system101\system101.dll','');
QuarantineFile('C:\WINDOWS\system32\itunesff.exe','');
QuarantineFile('C:\WINDOWS\system32\icf.exe','');
DeleteFile('C:\DOCUME~1\ВИТАЛИЙ\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
DeleteFile('C:\WINDOWS\internt.exe');
DeleteFile('C:\Program Files\system101\system101.dll');
DeleteFile('C:\WINDOWS\system32\itunesff.exe');
DeleteFile('C:\WINDOWS\system32\icf.exe');
BC_DeleteSvc('ICF');
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\system32\drivers\runtime.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_LogFile(GetAVZDirectory + 'bc_log.txt');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11531[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
[/CODE]

После попробуйте сделать логи по правилам из обычного режима,должно получиться.
И прикрепите [B]bc_log.txt[/B] из директории AVZ к вашему следующему сообщению.
03.08.2007, 10:34
Vit777

Вложений: 2

Все проделал. Удачно! Высылаю файлы, кроме Bc_log.txt - его вообще просто нет (искал через поиск винды). Вроде прокачка закончилась, а вот файлы явно заражены.
03.08.2007, 13:49
Muzzle

ещё новый лог [B]HiJackThis[/B] сделайте пожалуйста.
03.08.2007, 14:15
Vit777

Вложений: 1

Выложил нужный файл.
03.08.2007, 14:26
Muzzle

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\ВИТАЛИЙ\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\Program Files\system101\system101.dll');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
BC_DeleteFile('C:\Program Files\system101\system101.dll');
BC_DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\DOCUME~1\ВИТАЛИЙ\LOCALS~1\Temp\winlogon.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: XY33 Popup Blocker - {4B5A7560-16C6-4063-86D3-000000000002} - C:\Program Files\system101\system101.dll (file missing)
O9 - Extra button: (no name) - {4B5A7560-16C6-4063-86D3-000000000003} - C:\Program Files\system101\system101.dll (file missing)
O9 - Extra 'Tools' menuitem: Блокировка всплывающих окон - {4B5A7560-16C6-4063-86D3-000000000003} - C:\Program Files\system101\system101.dll (file missing)
[/CODE]
И снова логи ;)
PS.А что в прошый карантин попал только 1 файл?
03.08.2007, 15:37
Vit777

Вложений: 2

В прошлый раз только один файл попал в карантин. Сейчас добавился еще один из папки OutpostFirewall (просто только сегодня его установил).
При выполнении последнего скрипта выскакивает ошибка Failed to set data "DisplayName" и в протоколе Ошибка в работе антируткита шаг 11.
В безопасном режиме все прошло.
Вот новые логи.
Но почему у одного файла нет в свойстве что он изменился. Наверное поэтому он и не загружается на сайт. Наверное стоит удалять эти файлы перед новым запуском?
Что же это за зараза такая?!
03.08.2007, 15:45
Muzzle

Вы о каком файле говорите? о virusinfo_syscure.zip? И ошибка скрипта моего, или стандартного AVZ?
А так в логах всё чистенько стало,загрузите ещё virusinfo_syscure.zip(если не загружается удалите просто старые логи)
03.08.2007, 16:04
Vit777

virusinfo_syscure.zip не загрузился и у него в свойствах стоит, что последнее изменение в 10-21 было. Не удается его выслать. Удалю файлы из папки ЛОГ и заново проверю. Сразу же вышлю.
Ошибка вашего скрипта при запуске из обычного режима.
И вопросик - ведь проводя стандартный скрипт проверки в протоколе пишется что нейтрализован антируткит. Значит ли этого что он все-таки где-то жив?
03.08.2007, 16:11
Muzzle

Это пишет про перехваты функций от аутпоста и алкоголя.Ждём логов.
03.08.2007, 16:33
Vit777

Поразительно! Но второго нужного лога нет в папке LOG! Есть только virusinfo_cure.zip и тот что отправил (только уже новый). Может я что в настройках натворил? Ничего не понимаю.
03.08.2007, 16:41
Muzzle

Попробуйте заного распаковать AVZ из архива который скачали,или скачать снова.Как состояние компьютера? Судя по тем логам которые у нас есть,мы всё почистили :)
03.08.2007, 16:52
Vit777

Спасибо за помощь!
С виду вроде нормально на компе, Firewall не о чем серьезном вроде не сообщает (по крайней мере пока).
Перераспаковал имеющийся архив AVZ, прогнал скрипт 3 - нема нужного файла. Загадка.
22.02.2009, 02:09
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\виталий\\locals~1\\temp\\winlogon.exe - [B]Trojan.Win32.Agent.asu[/B] (DrWEB: Trojan.Packed.147)[/LIST][/LIST]