Сыпится "левый" трафик

Printable View

01.09.2008, 19:01
ИгOPь

Вложений: 3

Сыпится "левый" трафик

Помогите.
Файлы вложны.
01.09.2008, 19:19
V_Bond

выполните скрипт ...
[code]
begin
QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
01.09.2008, 23:48
ИгOPь

В карантин попал только один файл
02.09.2008, 14:53
Rene-gad

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
DeleteService('synsend');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('synsend');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
03.09.2008, 18:04
ИгOPь

Вложений: 2

Логи прикрепил...

[COLOR="Red"]moderated::::еще раз увижу карантин в теме - закрою тему.[/COLOR]
03.09.2008, 18:12
ИгOPь

карантин добавил

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

to moderator: я вроде делал все по инструкции...
как это - "карантин в теме" ?
[COLOR="Red"]файл virusinfo_cure.zip я удалил собственноручно[/COLOR]
03.09.2008, 18:13
Rene-gad

Выполните пункт 2 правил.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');
DeleteService('synsend');
DeleteFile('C:\WINDOWS\system32\winsys2.exe');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('synsend');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
04.09.2008, 19:33
ИгOPь

Вложений: 3

1. В защищенном режиме запустил утилиту от DrWeb - CureIT!
2. перезагрузился. проверил - системное восстановление отключено.
4. все выключил и запустил присланный скрипт
5. после перезагрузки
посмотрел на карантин. там нет файла который должен был быть помещен в карантин -> C:\WINDOWS\system32\drivers\synsenddrv.sys
Его нет и в директории: C:\WINDOWS\system32\drivers\

6.очистил временные файлы
7. зделал повторно логи...

Трафик также сыпится - практически не возможно работать в сети.
04.09.2008, 19:39
Rene-gad

1. Пуск/Выполнить... набрать [B]msconfig[/B], нажать клавишу [B]ВВОД[/B].
2. В карточке Автозапуск - Все отключить

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\0000051D.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\0000051D.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportAll;
ExecuteSysClean;´
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
05.09.2008, 10:37
ИгOPь

Вложений: 3

после измениний в msconfig - я перезагрузился...
до запуска скрипта проверил наличие файлов
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\0000051D.sys','');
их не было...

запустил скрипт
логи сделал
05.09.2008, 11:56
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\zmfon.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\0000053A.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\0000053A.sysD.sys');
DeleteFile('C:\WINDOWS\system32\drivers\zmfon.sys');
BC_ImportAll;
ExecuteSysClean;´
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
05.09.2008, 12:54
ИгOPь

Вложений: 3

Сделал...
05.09.2008, 13:17
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\zmfon.sys','');
DeleteService('synsend');
DeleteService('ebqvjafa');
DeleteFile('C:\WINDOWS\system32\drivers\zmfon.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_DeleteSvc('synsend');
BC_DeleteSvc('ebqvjafa');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
05.09.2008, 13:53
ИгOPь

Вложений: 3

Сделал..
05.09.2008, 14:37
Rene-gad

В логах чисто.
Какие проблемы остались?
Карантин закачали?
05.09.2008, 14:40
ИгOPь

Карантин закачивал... не получили? Повторить?
Проблемы с трафиком сейчас нет... Спасибо.
05.09.2008, 14:51
Rene-gad

Получили, спасибо.
Сервис Пак 3 поставьте, возможно потребуется активация системы.
22.02.2009, 07:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]6[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\zmfon.sys - [B]Rootkit.Win32.Agent.deg[/B] (DrWEB: Trojan.Spambot.3548)[/LIST][/LIST]