жрется траффик

Printable View

Показывать 40 сообщений этой темы на одной странице

31.10.2009, 15:04
oleg_r

жрется траффик

Всем доброго!

у меня сразу жрется траффик после подключения к интернету, хотя ни одно из приложений, использующих интернет еще не запущено, появляются файлы типа 5.tmp в папке system32, вылетают окна с сообщениями "инструкция по адресу "0х000000000"" обратилась по адресу "0х000000000". Память не может быть "read", OK - завершение приложения, Отмена - отладка."

CureIt выловил много вирусов но обезвредить свех не смог, например файл restorer_32a.exe появился вновь.
Менеджер процессов показывает намного большее количество svchost.exe чем было ранее.

операционка w2000pro sp4.
31.10.2009, 15:25
Шапельский Александр

Скачайте новый АВЗ, обновите базы,затем
закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\TEMP\BNA.tmp','');
QuarantineFile('C:\Program Files\Internet Explorer\DW15.EXE','');
QuarantineFile('C:\WINNT\system32\.\6.tmp','');
QuarantineFile('C:\WINNT\system32\9.tmp','');
QuarantineFile('C:\WINNT\Fonts\services.exe','');
DeleteFile('C:\WINNT\Fonts\services.exe');
DeleteFile('C:\WINNT\system32\9.tmp');
DeleteFile('C:\WINNT\system32\.\6.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','3646');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
DeleteFile('C:\WINNT\TEMP\BNA.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]Компьютер перезагрузится
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
04.11.2009, 12:49
oleg_r

К сожалению без моего участия домочадцы включали сеть, поэтому наверное придется все с начала пробовать?

Сейчас закачаю запрошенный карантин в шапке темы.
04.11.2009, 12:52
Белый Сокол

Закачайте карантин и делайте новые логи.
04.11.2009, 13:34
oleg_r

закачал карантин и сделал новые логи.
04.11.2009, 14:13
Шапельский Александр

Отключите восстановление системы!
Пролечитесь, как описано здесь [URL]http://virusinfo.info/showthread.php?t=15927[/URL]
05.11.2009, 03:23
oleg_r

насколько я ориентируюсь, в win2000 восстановления нет, и на вирусинфо не упоминалось, как отключать.

закачанный карантин чем-то помог? какие будут следующие попытки?
05.11.2009, 09:53
Шапельский Александр

[QUOTE='oleg_r;501147']насколько я ориентируюсь, в win2000 восстановления нет, и на вирусинфо не упоминалось, как отключать.[/QUOTE]
Это я недоглядел.

[QUOTE='shapel;500536']Пролечитесь, как описано здесь [url]http://virusinfo.info/showthread.php?t=15927[/url][/QUOTE]
Вы выполнили это? Если да, тогда пожалуйста сделайте новые логи и прикрепите к новому сообщению.
05.11.2009, 12:54
oleg_r

я это смогу выполнить попозже, как доберусь до нормального интернета и смогу на чистой машине скачать требуемые утилиты.
05.11.2009, 13:56
PavelA

Virus.Win32.Virut.ce в карантине был.
Это через AVZ не лечится.
06.11.2009, 12:23
oleg_r

Еще добавлю: при попытках загрузиться в безопасном режиме вылетает синий экран:
STOP: 0x0000007B и т.д.
INACCESSIBLE BOOT DEVICE

хотя в обычном режиме виндоус запускается
06.11.2009, 21:12
thyrex

Выполните скрипт в AVZ
[code]begin
ExecuteRepair(10);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Безопасный режим заработал?
09.11.2009, 13:53
oleg_r

да, безопасный режим запустился.
CureIt, запущенный в безопасном режиме, указал только о изменении файла HOSTS.
Вирусов он не нашел.
Потом я подключился к интернету и опять вылезли окна, описанные в начале темы.
Прикрепляю скрин с появившимися файлами.
09.11.2009, 13:56
Шапельский Александр

Сделайте новые логи и прикрепите к новому сообщению
09.11.2009, 14:21
thyrex

+ к [B]shapel[/B]

Такой лог [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url] тоже сделайте
09.11.2009, 20:25
oleg_r

сделал новые логи
09.11.2009, 22:32
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\Temp\VRT4.tmp','');
QuarantineFile('C:\WINNT\Temp\VRT3.tmp','');
QuarantineFile('C:\WINNT\fonts\services.exe','');
DeleteService('zwbhgqocmoh7');
QuarantineFile('C:\WINNT\system32\drivers\zrqhdwfxg3.sys','');
QuarantineFile('C:\WINNT\system32\msxm192z.dll','');
TerminateProcessByName('c:\winnt\temp\bn1c.tmp');
QuarantineFile('c:\winnt\temp\bn1c.tmp','');
TerminateProcessByName('c:\winnt\system32\16.tmp');
QuarantineFile('c:\winnt\system32\16.tmp','');
DeleteFile('c:\winnt\system32\16.tmp');
DeleteFile('c:\winnt\temp\bn1c.tmp');
DeleteFile('C:\WINNT\system32\msxm192z.dll');
DeleteFile('C:\WINNT\system32\drivers\zrqhdwfxg3.sys');
DeleteFile('C:\WINNT\fonts\services.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','21714');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ter8m');
DeleteFile('C:\WINNT\Temp\VRT3.tmp');
DeleteFile('C:\WINNT\Temp\VRT4.tmp');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалить в МВАМ[/URL]
[CODE]Заражено процессов в памяти:
C:\WINNT\Temp\BN1C.tmp (Trojan.Agent) -> No action taken.

Заражено модулей в памяти:
C:\WINNT\system32\msxm192z.dll (Trojan.Agent) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ter8m (Trojan.Agent) -> No action taken.

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Заражено файлов:
C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\PQ9A2L4W\st[1].txt (Trojan.Dropper) -> No action taken.
C:\WINNT\system32\6.tmp (Trojan.Agent) -> No action taken.
C:\WINNT\system32\7.tmp (Trojan.Agent) -> No action taken.
C:\WINNT\system32\B.tmp (Trojan.Agent) -> No action taken.
C:\WINNT\system32\F.tmp (Trojan.Agent) -> No action taken.
C:\WINNT\system32\msxm192z.dll (Trojan.Agent) -> No action taken.
C:\WINNT\Temp\BN1C.tmp (Trojan.Agent) -> No action taken.[/CODE]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
11.11.2009, 00:15
oleg_r

1. выполнил скрипт для AVZ, комп перезагрузился.
2. потом выполнил все по ссылке "Удалить в MBAM". создан лог MBAM. не разобрался что это был за код под ссылкой "Удалить в MBAM". это ведь копия лога первого, сделанного МБАМ.
3. прислал запрошенный карантин.
4. выполнил новые логи AVZ. HijackThis.

не совсем понял, нужно ли еще раз делать логи MBAM, поэтому высылаю лог MBAM выполненный в п.2.

в system32\ все так же полно всякого вирусного мусора.
11.11.2009, 00:17
oleg_r

я так понимаю, вирусы сидят и в реестре и в файлах и в псевдодрайверах?
11.11.2009, 00:24
oleg_r

после проделанных действий и отосланных логов ситуация вот какая, как во вложенном файле

Показывать 40 сообщений этой темы на одной странице