Грузит интернет трафик

Printable View

21.12.2007, 02:40
Nakhodka

Вложений: 3

Грузит интернет трафик

Постоянно грузит интернет трафик.
DRWEB находил Trojan.Packed.252, Trojan.Packed.166,
Trojan.Muldrop.8731, NtRootKit.312
Если есть возможность помогите, высылаю логи
21.12.2007, 02:49
Bratez

Отключите восстановление системы!
Пофиксите в HijackThis:
[code]O20 - Winlogon Notify: sysfldr - C:\WINDOWS\[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
QuarantineFile('C:\WINDOWS\system32\ksys.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Rag21.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\Rag21.sys');
DeleteFile('C:\WINDOWS\system32\ksys.sys');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
21.12.2007, 09:30
Nakhodka

высылаю карантин

[[color=#CC0000]moderated! карантин нужно присылать согласно приложения 3 правил[/color]]
21.12.2007, 15:44
Bratez

Карантин загружать здесь:
[url]http://virusinfo.info/upload_virus.php?tid=15519[/url]

Сделайте новые логи.
24.12.2007, 03:54
Nakhodka

Вложений: 3

Выслал карантин, высылаю логи
24.12.2007, 04:12
Muzzle

отправленный вами карантин пустой.:unsure:

Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Rag21', 'Start');
RebootWindows(true);
end.[/CODE]

Компьютер перезагрузится.

2. Выполните еще один скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\Rag21.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\Rag21.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

3. После перезагрузки пришлите карантин согласно приложению 3 правил.
(Загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=15519[/url]).

4. Сделайте новые логи.
24.12.2007, 05:57
Nakhodka

Вложений: 3

Выполнил Ваши последнии рекомендации.
Скрипты прошли без ошибок.
Карантин отправил по ссылке.
Отправляю логи.
24.12.2007, 06:23
Muzzle

В логах чисто,мусор только можно почистить.

[CODE]begin
SetAVZGuardStatus(true);
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

Что из этого Вам нужно?остальное пофиксим
[QUOTE]Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/QUOTE]
24.12.2007, 07:26
Nakhodka

Так как я в этом не очень разбираюсь,
мне скорее всего из вышеперечисленного
ничего не нужно.
24.12.2007, 10:11
Muzzle

[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

И как состояние компьютера?трафик больше лишний не бежит?
25.12.2007, 03:53
Nakhodka

Спасибо за помощь.
Сейчас трафик не летит, но по немногу его кто то кушает.
Соотношение исходящего к входящему 3 к 1.
При выключенном интернете сеть кто то подгружает.
Работают процессы: csrss.exe; taskmgr.exe; isass.exe;
services.exe
22.02.2009, 03:11
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]