Подозрительный исходящий траффик

Printable View

07.10.2010, 21:47
Itchy Finger

Подозрительный исходящий траффик

Стабильно появляется в последнее время. Есть подозрение на [B]services.exe[/B]
НУ что-то никак не могу вывести эту заразу самостоятельно. Буду очень признателен вашей помощи! Логи прилагаются
07.10.2010, 22:50
DefesT

Скачайте "OSAM" ([URL="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]Online Solutions Autorun Manager[/URL]). В меню
драйверов правой кнопкой по [B]ogsqesc[/B] и выберите "Turn Run Off". Подтвердите перезагрузку.
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ogsqesc.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\ogsqesc.sys');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам
07.10.2010, 23:38
Itchy Finger

Всё сделал как сказали, но почему-то в карантине пусто.:?

[SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000][FONT=Arial][SIZE=1][I][QUOTE][/I][SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]
[FONT=Arial][SIZE=1][I]Ошибка карантина файла, попытка прямого чтения (C:\Program Files\Internet Explorer\setupapi.dll)[/I][/SIZE][/FONT]
[FONT=Arial][SIZE=1][I]Карантин с использованием прямого чтения - ошибка[/I][/SIZE][/FONT]
[FONT=Arial][SIZE=1][I]Ошибка карантина файла, попытка прямого чтения (C:\Program Files\Internet Explorer\setupapi.dll)[/I][/SIZE][/FONT]
[FONT=Arial][SIZE=1][I]Карантин с использованием прямого чтения - ошибка[/I][/SIZE][/FONT]
[FONT=Arial][SIZE=1][I]Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\Drivers\ogsqesc.sys)[/I][/SIZE][/FONT]
[FONT=Arial][SIZE=1][I]Карантин с использованием прямого чтения - ошибка[/I][/SIZE][/FONT]
[FONT=Arial][SIZE=1][I]Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\Drivers\ogsqesc.sys)[/I][/SIZE][/FONT]
[FONT=Arial][SIZE=1][I]Карантин с использованием прямого чтения - ошибка[/I][/SIZE][/FONT]
[/COLOR][/SIZE][/COLOR][/SIZE]
[FONT=Arial][SIZE=1][I]Удаление файла:C:\WINDOWS\system32\Drivers\ogsqesc.sys[/I][/SIZE][/FONT]
[COLOR=#ff0000][FONT=Arial][SIZE=1][COLOR=#ff0000][I]>>>Для удаления файла C:\WINDOWS\system32\Drivers\ogsqesc.sys необходима перезагрузка[/I]
[/COLOR][/SIZE][/FONT][/COLOR]
[FONT=Arial][SIZE=1][I]Удаление файла:C:\Program Files\Internet Explorer\setupapi.dll[/I][/SIZE][/FONT]
[COLOR=#ff0000][FONT=Arial][SIZE=1][COLOR=#ff0000][I]>>>Для удаления файла C:\Program Files\Internet Explorer\setupapi.dll необходима перезагрузка[/I]
[/COLOR][/SIZE][/FONT][/COLOR][FONT=Arial][SIZE=1]
[I]Автоматическая чистка следов удаленных в ходе лечения программ[/I]
[/SIZE][/FONT][I][/QUOTE][/I]

[COLOR=black]Система на перезагрузку автоматически не вышла - перезагружал вручную. Логи загрузил[/COLOR][/SIZE][/FONT][/COLOR][/SIZE][/COLOR][/SIZE][FONT=Arial][SIZE=1]
[/SIZE][/FONT]
08.10.2010, 00:09
DefesT

опять хрень всплыла
Отключите компьютер от интернета
В OSAM - меню
драйверов правой кнопкой по [B]laiefokb[/B] и [B]swmiqg[/B] и выберите "Turn Run Off". Подтвердите перезагрузку.
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\5840c8be3714','');
QuarantineFile('C:\WINDOWS\system32\Drivers\swmiqg.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\laiefokb.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\laiefokb.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\swmiqg.sys');
DeleteFile('C:\WINDOWS\TEMP\5840c8be3714');
DeleteService('9a655d109b3d94ff');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (если файлы в него попадут). Сделайте новые логи по правилам (virusinfo_syscheck.zip и hijackthis.log)
08.10.2010, 03:00
Itchy Finger

Всё сделал, но карантин почему-то опять пустой:?
Логи прилагаются

Вроде как всё чистенько. По крайней мере траффика исходящего больше не наблюдаю.:)
13.10.2010, 01:10
thyrex

C:\WINDOWS\system32\Drivers\achwrnh.sys запакуйте с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы