Пстоянно передает и получает пакеты по сети и в нете

Printable View

14.05.2010, 17:06
Baz1228

Пстоянно передает и получает пакеты по сети и в нете

Добрый день. Помогите пожалуйста . Комп долго начал загружаться, а после загрузаки постоянно передает и получает пакеты из нета и по сетке, даже когда там не работаешь.
вот логи
Спасибо заранее
14.05.2010, 17:28
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\aecq.sys','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\siozqvb1sn.exe','');
QuarantineFile('C:\WINDOWS\system32\o5kkabg81s.exe','');
QuarantineFile('C:\WINDOWS\system32\j86a81mx.exe','');
QuarantineFile('C:\WINDOWS\system32\hcc30zzqv.exe','');
QuarantineFile('C:\WINDOWS\system32\gelettegoo.exe','');
QuarantineFile('C:\WINDOWS\system32\cafe.exe','');
QuarantineFile('C:\WINDOWS\system32\c3ii30ffb.exe','');
QuarantineFile('C:\WINDOWS\system32\a6mm6yy6.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6856099850-9319170093-110190557-0480\yv8g67.exe','');
QuarantineFile('C:\Documents and Settings\Bazilio\ctfmon.exe,C:\Documents and Settings\Bazilio\Application Data\dxlreu.exe,explorer.exe,C:\RECYCLER\S-1-5-21-6856099850-9319170093-110190557-0480\yv8g67.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
DeleteService('protect');
DeleteService('iyjkuaupgqulj');
QuarantineFile('C:\DOCUME~1\Bazilio\LOCALS~1\Temp\wczofbjzpzzi.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\DMusicq.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\aecq.sys','');
QuarantineFile('C:\WINDOWS\system32\tourazoh.exe','');
DeleteService('ism0dykyesfaabo8');
QuarantineFile('C:\WINDOWS\system32\ryvoque.exe','');
QuarantineFile('C:\WINDOWS\system32\bazoog.exe','');
DeleteService('donyzjvm2a47hp');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\WINDOWS\system32\rykonoofu.exe','');
DeleteFile('C:\WINDOWS\system32\rykonoofu.exe');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('C:\WINDOWS\system32\bazoog.exe');
DeleteFile('C:\WINDOWS\system32\ryvoque.exe');
DeleteFile('C:\WINDOWS\system32\tourazoh.exe');
DeleteFile('C:\DOCUME~1\Bazilio\LOCALS~1\Temp\wczofbjzpzzi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
DeleteFile('C:\Documents and Settings\Bazilio\ctfmon.exe,C:\Documents and Settings\Bazilio\Application Data\dxlreu.exe,explorer.exe,C:\RECYCLER\S-1-5-21-6856099850-9319170093-110190557-0480\yv8g67.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6856099850-9319170093-110190557-0480\yv8g67.exe');
DeleteFile('C:\WINDOWS\system32\a6mm6yy6.exe');
DeleteFile('C:\WINDOWS\system32\c3ii30ffb.exe');
DeleteFile('C:\WINDOWS\system32\cafe.exe');
DeleteFile('C:\WINDOWS\system32\gelettegoo.exe');
DeleteFile('C:\WINDOWS\system32\hcc30zzqv.exe');
DeleteFile('C:\WINDOWS\system32\j86a81mx.exe');
DeleteFile('C:\WINDOWS\system32\o5kkabg81s.exe');
DeleteFile('C:\WINDOWS\system32\mrhn66e3a1.exe');
DeleteFile('C:\WINDOWS\system32\siozqvb1sn.exe');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('c:\windows\system32\rykonoofu.exe');
DeleteFile('C:\Documents and Settings\Bazilio\Local Settings\Temp\061.exe');
DeleteFile('C:\Documents and Settings\Bazilio\Local Settings\Temp\583.exe');
DeleteFile('C:\Documents and Settings\Bazilio\Local Settings\Temp\825.exe');
DeleteFile('C:\Documents and Settings\Bazilio\Local Settings\Temporary Internet Files\Content.IE5\8X23E5C7\cemjkmn[1].exe');
DeleteFile('C:\Documents and Settings\Bazilio\Local Settings\Temporary Internet Files\Content.IE5\8X23E5C7\dcwjm1[1].exe');
DeleteFile('C:\Documents and Settings\Bazilio\Local Settings\Temporary Internet Files\Content.IE5\CDYROXAB\vgewfewfew[1].exe');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\Documents and Settings\Bazilio\ctfmon.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\Drivers\aecq.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
14.05.2010, 17:48
Baz1228

все сделал, вот логи
14.05.2010, 17:52
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\9708gr5.exe');
DeleteFile('C:\WINDOWS\system32\qqlccxooja.exe');
DeleteFile('C:\Documents and Settings\Bazilio\Local Settings\Temp\151.exe');
DeleteFile('C:\Documents and Settings\Bazilio\Local Settings\Temp\480.exe');
DeleteFile('C:\Documents and Settings\Bazilio\Local Settings\Temporary Internet Files\Content.IE5\PEFY8FPQ\dwqfwe[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
14.05.2010, 18:20
Baz1228

вот логи
14.05.2010, 19:38
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\explorer.exe:userini.exe');
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\Documents and Settings\Bazilio\Local Settings\Temp\530.exe','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('c:\windows\explorer.exe:userini.exe','');
DeleteFile('c:\windows\explorer.exe:userini.exe');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('C:\Documents and Settings\Bazilio\Local Settings\Temp\530.exe');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи + лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
17.05.2010, 11:03
Baz1228

все сделал, вот логи
17.05.2010, 12:04
thyrex

c:\windows\system32\grpconv.exe восстановите с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
c:\windows\system32\coufoujicib.exe
C:\WINDOWS\explorer.exe:userini.exe:$DATA
c:\windows\temp\wpv831273913048.exe

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8987:TCP"=-

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
17.05.2010, 14:09
Baz1228

все сделал, вот
17.05.2010, 16:31
thyrex

Что сейчас с проблемой?
17.05.2010, 16:36
Baz1228

Проблема вроде решена! Большое спасибо. Но грузится все равно долговато
17.05.2010, 17:01
thyrex

c:\program files\WebMoney Advisor и его записи в реестре восстановите [URL="http://virusinfo.info/showpost.php?p=514765&postcount=3"]так[/URL] или переустановите

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все новые патчи
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
17.05.2010, 17:57
Baz1228

Короче после всего этого, при загрузке выскакивает окно "Приложение csrcx.exe нельзя запустить в режиме Win32". и что делать?
вот новые логи
17.05.2010, 18:38
thyrex

[QUOTE='Baz1228;638584']при загрузке выскакивает окно "Приложение csrcx.exe нельзя запустить в режиме Win32"[/QUOTE]И где Вы их успеваете подцеплять. Даже ComboFix не успели удалить

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\System Volume Information\_restore{D40BDB1B-E208-4CFB-9D1B-521DB2AC9AE5}\RP1\A0000018.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('C:\System Volume Information\_restore{D40BDB1B-E208-4CFB-9D1B-521DB2AC9AE5}\RP1\A0000018.exe:userini.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
18.05.2010, 10:31
Baz1228

все сделал
вот логи
18.05.2010, 11:34
V_Bond

что с проблемами ?
18.05.2010, 11:50
Baz1228

все работает нормально . Большое спасибо!
18.05.2010, 12:05
thyrex

Рано убегаете

[B]Внимание[/B]: возможно после выполнения скрипта возникнут проблемы со звуком и драйвера придется переустановить

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('drmkaudr', 4);
DeleteService('drmkaudr');
SetServiceStart('DMusicq', 4);
DeleteService('DMusicq');
DeleteFile('C:\WINDOWS\System32\DRIVERS\drmkaudr.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\DMusicq.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новые логи
19.05.2010, 12:05
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]81[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\bazilio\ctfmon.exe - [B]P2P-Worm.Win32.Palevo.ahxh[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Rimecud.2, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\bazilio\local settings\temporary internet files\content.ie5\cdyroxab\vgewfewfew[1].exe - [B]Trojan.Win32.Ddox.jq[/B] ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\bazilio\local settings\temporary internet files\content.ie5\pefy8fpq\dwqfwe[1].exe - [B]Trojan.Win32.Ddox.jp[/B] ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\bazilio\local settings\temporary internet files\content.ie5\8x23e5c7\cemjkmn[1].exe - [B]Trojan.Win32.Ddox.jx[/B] ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\bazilio\local settings\temporary internet files\content.ie5\8x23e5c7\dcwjm1[1].exe - [B]Trojan.Win32.Ddox.jr[/B] ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\bazilio\local settings\temp\061.exe - [B]Trojan.Win32.Ddox.jx[/B] ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\bazilio\local settings\temp\151.exe - [B]Trojan.Win32.Ddox.jq[/B] ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\bazilio\local settings\temp\480.exe - [B]Trojan.Win32.Ddox.jp[/B] ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\bazilio\local settings\temp\530.exe - [B]Trojan.Win32.Ddox.jp[/B] ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\bazilio\local settings\temp\583.exe - [B]Trojan.Win32.Ddox.jq[/B] ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\bazilio\local settings\temp\825.exe - [B]Trojan.Win32.Ddox.jr[/B] ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-6856099850-9319170093-110190557-0480\yv8g67.exe - [B]P2P-Worm.Win32.Palevo.ahix[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.3933810, NOD32: Win32/Peerfrag.FL worm, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{d40bdb1b-e208-4cfb-9d1b-521db2ac9ae5}\rp1\a0000018.exe:userini.exe:$data - [B]Packed.Win32.Katusha.a[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BR, AVAST4: Win32:Bredolab-DG [Trj] )[*] c:\windows\explorer.exe:userini.exe - [B]Email-Worm.Win32.Joleee.euk[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: DeepScan:Generic.Malware.SFMdld.04963DCE, AVAST4: Win32:Trojan-gen )[*] c:\windows\explorer.exe:userini.exe:$data - [B]Backdoor.Win32.Bredolab.ehc[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DG [Trj] )[*] c:\windows\explorer.exe:userini.exe:$data - [B]Email-Worm.Win32.Joleee.euk[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: DeepScan:Generic.Malware.SFMdld.04963DCE, AVAST4: Win32:Trojan-gen )[*] c:\windows\system32\a6mm6yy6.exe - [B]Trojan.Win32.Ddox.jw[/B] ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\bazoog.exe - [B]Trojan-Dropper.Win32.Vidro.aah[/B] ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )[*] c:\windows\system32\drivers\aecq.sys - [B]Backdoor.Win32.Agent.avbz[/B] ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\drivers\dmusicq.sys - [B]Backdoor.Win32.Agent.avbz[/B] ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\j86a81mx.exe - [B]Trojan.Win32.Ddox.jr[/B] ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\mrhn66e3a1.exe - [B]Trojan.Win32.Ddox.jx[/B] ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\rykonoofu.exe - [B]Trojan-Dropper.Win32.Vidro.aah[/B] ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )[*] c:\windows\system32\ryvoque.exe - [B]Trojan-Dropper.Win32.Vidro.aah[/B] ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )[*] c:\windows\system32\tourazoh.exe - [B]Trojan-Dropper.Win32.Vidro.aah[/B] ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )[*] c:\windows\system32\userini.exe - [B]Backdoor.Win32.Bredolab.ehc[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DG [Trj] )[*] c:\windows\system32\userini.exe - [B]Email-Worm.Win32.Joleee.euk[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: DeepScan:Generic.Malware.SFMdld.04963DCE, AVAST4: Win32:Trojan-gen )[*] \quarantine\2010-05-17.rar - [B]Email-Worm.Win32.Joleee.euk[/B] ( DrWEB: archive: Trojan.Spambot.6788, BitDefender: DeepScan:Generic.Malware.SFMdld.04963DCE )[/LIST][/LIST]