WinNt64.dll жрёт трафик

Printable View

21.06.2008, 15:35
Tim-tim

Вложений: 3

WinNt64.dll жрёт трафик

Добрый день!
Проблема состоит в следующем.
dr. Web периодически выдает сообщение:
C:\WINDOWS\system32\WinNt64.dll - инфицирован Trojan.DownLoader.63655
Но справиться с ним Dr. Web очевидно не может.

Была замечена однажды утечка инет-трафика. После чего собственно я занялся решением этой проблемы.

Кто-нибудь может помочь?
21.06.2008, 15:48
Bratez

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\System\svchost.exe"
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - Global Startup: update.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\SYSTEM32\WinNt64.dll
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\System Volume Information\_restore{7EF69E56-3966-45E1-A4FF-C2D38624A5AF}\RP85\A0031219.exe','');
QuarantineFile('C:\System Volume Information\_restore{7EF69E56-3966-45E1-A4FF-C2D38624A5AF}\RP85\A0031210.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\allradioclose.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpa88.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Hwm50.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt64.dll','');
QuarantineFile('C:\Program Files\Common Files\System\svchost.exe','');
DeleteFile('C:\Program Files\Common Files\System\svchost.exe');
DeleteFile('C:\WINDOWS\system32\WinNt64.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Hwm50.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpa88.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\allradioclose.exe');
DeleteFile('C:\System Volume Information\_restore{7EF69E56-3966-45E1-A4FF-C2D38624A5AF}\RP85\A0031210.exe');
DeleteFile('C:\System Volume Information\_restore{7EF69E56-3966-45E1-A4FF-C2D38624A5AF}\RP85\A0031219.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Winpa88');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Sdfv43');
BC_DeleteSvc('Ejt88');
BC_DeleteSvc('Hwm50');
BC_DeleteSvc('Pxincyip');
BC_DeleteSvc('DhcpEventlog');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=25062[/url]).
Сделайте новые логи, начиная с п.10 правил.
21.06.2008, 16:17
Tim-tim

Вложений: 2

Спасибо за помощь!
Сделал как вы сказали.
После того, как пофиксил, после перезагрузки перед появлением старотового окошка Windows с выбором пользователя для входа в систему, появилось странное окошко с двумя иероглифическими символами похожими на квадраты и кнопкой OK внизу. После нажатия на кнопку Windows загружался нормально.
Та же картина повторилась после перезагрузки после выполнения скрипта в AVZ.

Также Dr.WEB выдал следующие сообщения после той, последней перезагрузки (до того, как я отключил его перед созданием новых логов):
C:\WINDOWS\TEMP\BNE.tmp - инфицирован BackDoor.Bulknet.217
C:\WINDOWS\System32\drivers\tcpsr.sys - инфицирован Trojan.Siggen.66
21.06.2008, 17:33
V_Bond

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачайте [/URL]C:\WINDOWS\System32\Drivers\Hwm50.sys - force delete
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Hwm50');
DeleteFile('C:\WINDOWS\system32\Drivers\Hwm50.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ....
21.06.2008, 18:14
Tim-tim

Вложений: 2

сделал.
странное окошко при запуске Windows продолжает появляться
21.06.2008, 18:24
V_Bond

пофиксите ....
[code]
O2 - BHO: Codec pack - {b448d946-3623-42ab-ba32-c08651e36980} - C:\Program Files\Common Files\System\sys_vd4.dat
[/code]
EXECSTAT - точно нужно ?
выполните скрипт ...
[code]
begin
BC_DeleteSvc('tcpsr');
BC_Activate;
RebootWindows(true);
end.
[/code]
21.06.2008, 18:45
Tim-tim

Вложений: 2

всё сделал.

странное окошко появляется опять
трафик левый идет тоже.

EXECSTAT снёс.
21.06.2008, 18:56
akok

Remote control tool - сами ставили?
21.06.2008, 19:02
Tim-tim

ну вообще-то не припомню...
21.06.2008, 21:21
V_Bond

Remote Administrator Service - если сами не используете , значит может использовать кто -то другой ...
стоит apache - тоже любитель трафика ...
alcohol - тоже пасется в интернет ....
J:\PdtGuide.exe - знаете что ?
22.02.2009, 06:05
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\system volume information\\_restore{7ef69e56-3966-45e1-a4ff-c2d38624a5af}\\rp85\\a0031210.exe - [B]Email-Worm.Win32.Agent.ge[/B] (DrWEB: BackDoor.Bulknet.193)[*] c:\\system volume information\\_restore{7ef69e56-3966-45e1-a4ff-c2d38624a5af}\\rp85\\a0031219.exe - [B]Email-Worm.Win32.Agent.ge[/B] (DrWEB: BackDoor.Bulknet.193)[*] c:\\windows\\system32\\winnt64.dll - [B]Trojan-Downloader.Win32.Mutant.ahk[/B] (DrWEB: Trojan.DownLoader.63655)[/LIST][/LIST]