Вирус увеличил трафик

Printable View

26.07.2008, 23:19
Ефим

Вложений: 2

Вирус увеличил трафик

Вирус сильно увеличил трафик Инета.
26.07.2008, 23:28
V_Bond

знатный зверинец ....
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\twain_8.dll','');
QuarantineFile('C:\WINDOWS\Temp\NT28A32.exe','');
QuarantineFile('C:\WINDOWS\Temp\NT1E132.exe','');
QuarantineFile('C:\WINDOWS\Temp\NT16832.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\WINDOWS\libor.exe','');
QuarantineFile('C:\WINDOWS\herjek.exe','');
DeleteService('Trj75');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('protect');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
DeleteService('nsysaudm');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\nsysaudm.sys','');
DeleteService('L');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\L.exe','');
QuarantineFile('C:\WINDOWS\system32\baseknr32.dll','');
DeleteFile('C:\WINDOWS\system32\baseknr32.dll');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\L.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\nsysaudm.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Trj75.sys');
DeleteFile('C:\WINDOWS\herjek.exe');
DeleteFile('C:\WINDOWS\libor.exe');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\drivers\clbdriver.sys');
DeleteFile('C:\WINDOWS\Temp\NT16832.exe');
DeleteFile('C:\WINDOWS\Temp\NT1E132.exe');
DeleteFile('C:\WINDOWS\Temp\NT28A32.exe');
DeleteFile('C:\WINDOWS\twain_8.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
26.07.2008, 23:54
Ефим

Вложений: 2

Карантин отправил.
27.07.2008, 00:07
V_Bond

отключите восстановление системы выполните пункт2 правил и сделайте недостающий лог ...
27.07.2008, 00:23
Ефим

[quote=V_Bond;260025]отключите восстановление системы выполните пункт2 правил и сделайте недостающий лог ...[/quote]
При добавлении файла выдается ошибка:
"[B]virusinfo_syscure.zip[/B]:
Вы уже вложили этот файл в теме : [URL="http://virusinfo.info/showthread.php?t=27123"]Вирус увеличил трафик[/URL] "
27.07.2008, 01:04
V_Bond

переименуйте в virusinfo_syscure1.zip
27.07.2008, 01:24
Ефим

[quote=V_Bond;260033]переименуйте в virusinfo_syscure1.zip[/quote]
Выдает ту же самую ошибку, даже после изменения расширения файла на .txt
27.07.2008, 10:35
V_Bond

значит удалите старый лог из первого сообщения ...
27.07.2008, 12:14
Ефим

[quote=V_Bond;260058]значит удалите старый лог из первого сообщения ...[/quote]
Пишет, что у аккаунта нет прав на удаление :(
27.07.2008, 12:30
V_Bond

удалил ...
27.07.2008, 12:41
Ефим

Вложений: 1

Спасибо.

Недостающий лог.
27.07.2008, 12:55
V_Bond

выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\NT28A32.exe','');
QuarantineFile('C:\WINDOWS\Temp\NT1E132.exe','');
QuarantineFile('C:\WINDOWS\Temp\NT16832.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\clbdriver.sys','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\WINDOWS\libor.exe','');
QuarantineFile('C:\WINDOWS\herjek.exe','');
DeleteService('Trj75');
QuarantineFile('C:\WINDOWS\System32\Drivers\Trj75.sys','');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('protect');
DeleteService('nsysaudm');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\nsysaudm.sys','');
DeleteService('L');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\L.exe','');
QuarantineFile('C:\WINDOWS\twain_8.dll','');
QuarantineFile('C:\WINDOWS\system32\baseknr32.dll','');
DeleteFile('C:\WINDOWS\system32\baseknr32.dll');
DeleteFile('C:\WINDOWS\twain_8.dll');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\L.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\nsysaudm.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Trj75.sys');
DeleteFile('C:\WINDOWS\herjek.exe');
DeleteFile('C:\WINDOWS\libor.exe');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\drivers\clbdriver.sys');
DeleteFile('C:\WINDOWS\Temp\NT16832.exe');
DeleteFile('C:\WINDOWS\Temp\NT1E132.exe');
DeleteFile('C:\WINDOWS\Temp\NT28A32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
27.07.2008, 13:37
Ефим

Вложений: 3

Скрипт выполнен. Карантин отправлен.
Новые логи:
27.07.2008, 13:49
Rene-gad

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол и кучу других не нужных в Автозапуске приложений
[CODE]C:\Program Files\Winamp\winampa.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe[/CODE]
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\twain_8.dll
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{53B95211-7D77-11D2-9F80-00104B107C96}');
QuarantineFile('C:\WINDOWS\twain_8.dll','');
DeleteFile('C:\WINDOWS\twain_8.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\twain_8.dll');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
27.07.2008, 14:24
Ефим

Вложений: 1

Карантин отправил

Удалите, плиз, предыдущие файлы логов.
27.07.2008, 15:16
Гриша

Чисто,жалобы есть?
27.07.2008, 15:37
Ефим

Нет, спасибо)
22.02.2009, 06:48
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\baseknr32.dll - [B]Trojan.Win32.SubSys.dw[/B] (DrWEB: Trojan.Okuks.based)[*] c:\\windows\\temp\\nt28a32.exe - [B]Backdoor.Win32.Prosti.mi[/B] (DrWEB: BackDoor.Bulknet.217)[*] c:\\windows\\twain_8.dll - [B]not-a-virus:AdWare.Win32.XmlMimeFilter.k[/B] (DrWEB: Adware.XMLMime.1)[/LIST][/LIST]