Подозрение на вирус

Printable View

07.02.2008, 17:56
Brodsky

Вложений: 3

Подозрение на вирус

Добрый день!
Помогите пожалуйста решить следующую проблему:
подозреваю что компьютер инфицирован, какая то зараза качает трафик в интернете, поставил себе Agnitum Outpost Firewall, запретил все приложения кроме Internet EXplorer. На вкладке сетевая активность блокируется svchost, следующие адреса
208.66.194.242
208.66.195.71
208.66.195.165
208.66.194.231
66.246.252.215
67.18.114.98
после этого трафик "съедает" меньше, но всё равно подозрительно много.
Заранее благодарен.
07.02.2008, 18:07
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Vch17');
SetServiceStart('Vch17', 4);
StopService('Oua17');
SetServiceStart('Oua17', 4);
QuarantineFile('bt848rom.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll','');
QuarantineFile('C:\WINXP\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('C:\WINXP\System32\Drivers\Oua17.sys','');
QuarantineFile('C:\WINXP\system32\Drivers\Vch17.sys','');
QuarantineFile('C:\WINXP\Oua17.sys','');
DeleteFile('C:\WINXP\Oua17.sys');
DeleteFile('C:\WINXP\system32\Drivers\Vch17.sys');
DeleteFile('C:\WINXP\System32\Drivers\Oua17.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll');
BC_ImportALL;
BC_DeleteSvc('Vch17');
BC_DeleteSvc('Oua17');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=17707[/url]).
Обновите базы AVZ и сделайте новые логи.
08.02.2008, 15:02
Brodsky

Вложений: 3

Лечение вируса

Большое Спасибо за оперативный ответ. Сделал всё как высказали. Высылаю новые логи.
08.02.2008, 16:07
Bratez

Все хорошо, только базы так и не обновили.

Пофиксите в HijackThis:
[code]
O20 - Winlogon Notify: abc32reg - C:\WINXP\
O20 - Winlogon Notify: bt848rom - bt848rom.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINXP\system32\DRIVERS\Ip6Fw.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте для контроля новые логи, начиная с п.10 правил.
08.02.2008, 17:55
Brodsky

Вложений: 3

Новые логи

Спасибо за помощь.
Скрипт выполнил. Строки пофиксил. К сожалению базы не могу обновить, какая-то ошибка все время
08.02.2008, 18:02
Bratez

Логи чистые.
22.02.2009, 03:52
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\документы\\settings\\abc32.dll - [B]Trojan.Win32.Inject.sm[/B] (DrWEB: BackDoor.Bifrost.526)[*] c:\\winxp\\oua17.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: BackDoor.Bulknet.112)[*] c:\\winxp\\system32\\drivers\\ip6fw.sys - [B]Trojan-Downloader.Win32.Diehard.dr[/B] (DrWEB: Trojan.NtRootKit.497)[*] c:\\winxp\\system32\\drivers\\oua17.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: BackDoor.Bulknet.112)[*] c:\\winxp\\system32\\drivers\\vch17.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm)[/LIST][/LIST]