Вирус сильно увеличил трафик Инета.
Вирус увеличил трафик
Вирус сильно увеличил трафик Инета.
Последний раз редактировалось V_Bond; 27.07.2008 в 12:30.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
знатный зверинец ....
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\twain_8.dll',''); QuarantineFile('C:\WINDOWS\Temp\NT28A32.exe',''); QuarantineFile('C:\WINDOWS\Temp\NT1E132.exe',''); QuarantineFile('C:\WINDOWS\Temp\NT16832.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\msauc.exe',''); QuarantineFile('C:\WINDOWS\libor.exe',''); QuarantineFile('C:\WINDOWS\herjek.exe',''); DeleteService('Trj75'); DeleteService('tcpsr'); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); DeleteService('protect'); QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys',''); DeleteService('nsysaudm'); QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\nsysaudm.sys',''); DeleteService('L'); QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\L.exe',''); QuarantineFile('C:\WINDOWS\system32\baseknr32.dll',''); DeleteFile('C:\WINDOWS\system32\baseknr32.dll'); DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\L.exe'); DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\nsysaudm.sys'); DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Trj75.sys'); DeleteFile('C:\WINDOWS\herjek.exe'); DeleteFile('C:\WINDOWS\libor.exe'); DeleteFile('C:\WINDOWS\msauc.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\drivers\clbdriver.sys'); DeleteFile('C:\WINDOWS\Temp\NT16832.exe'); DeleteFile('C:\WINDOWS\Temp\NT1E132.exe'); DeleteFile('C:\WINDOWS\Temp\NT28A32.exe'); DeleteFile('C:\WINDOWS\twain_8.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Карантин отправил.
отключите восстановление системы выполните пункт2 правил и сделайте недостающий лог ...
При добавлении файла выдается ошибка:Сообщение от V_Bond
"virusinfo_syscure.zip:
Вы уже вложили этот файл в теме : Вирус увеличил трафик "
переименуйте в virusinfo_syscure1.zip
Выдает ту же самую ошибку, даже после изменения расширения файла на .txt
значит удалите старый лог из первого сообщения ...
Пишет, что у аккаунта нет прав на удаление
удалил ...
Спасибо.
Недостающий лог.
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Temp\NT28A32.exe',''); QuarantineFile('C:\WINDOWS\Temp\NT1E132.exe',''); QuarantineFile('C:\WINDOWS\Temp\NT16832.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\clbdriver.sys',''); QuarantineFile('C:\WINDOWS\msauc.exe',''); QuarantineFile('C:\WINDOWS\libor.exe',''); QuarantineFile('C:\WINDOWS\herjek.exe',''); DeleteService('Trj75'); QuarantineFile('C:\WINDOWS\System32\Drivers\Trj75.sys',''); DeleteService('tcpsr'); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); DeleteService('protect'); DeleteService('nsysaudm'); QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\nsysaudm.sys',''); DeleteService('L'); QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\L.exe',''); QuarantineFile('C:\WINDOWS\twain_8.dll',''); QuarantineFile('C:\WINDOWS\system32\baseknr32.dll',''); DeleteFile('C:\WINDOWS\system32\baseknr32.dll'); DeleteFile('C:\WINDOWS\twain_8.dll'); DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\L.exe'); DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\nsysaudm.sys'); DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Trj75.sys'); DeleteFile('C:\WINDOWS\herjek.exe'); DeleteFile('C:\WINDOWS\libor.exe'); DeleteFile('C:\WINDOWS\msauc.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\drivers\clbdriver.sys'); DeleteFile('C:\WINDOWS\Temp\NT16832.exe'); DeleteFile('C:\WINDOWS\Temp\NT1E132.exe'); DeleteFile('C:\WINDOWS\Temp\NT28A32.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Скрипт выполнен. Карантин отправлен.
Новые логи:
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол и кучу других не нужных в Автозапуске приложений
- Системное востановление.Код:C:\Program Files\Winamp\winampa.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\QuickTime\qttask.exe C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
-Пофиксите
- Выполните скриптКод:O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\twain_8.dll
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{53B95211-7D77-11D2-9F80-00104B107C96}'); QuarantineFile('C:\WINDOWS\twain_8.dll',''); DeleteFile('C:\WINDOWS\twain_8.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\twain_8.dll'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
Карантин отправил
Удалите, плиз, предыдущие файлы логов.
Чисто,жалобы есть?
Нет, спасибо)
Последний раз редактировалось Ефим; 27.07.2008 в 17:02.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\baseknr32.dll - Trojan.Win32.SubSys.dw (DrWEB: Trojan.Okuks.based)
- c:\\windows\\temp\\nt28a32.exe - Backdoor.Win32.Prosti.mi (DrWEB: BackDoor.Bulknet.217)
- c:\\windows\\twain_8.dll - not-a-virus:AdWare.Win32.XmlMimeFilter.k (DrWEB: Adware.XMLMime.1)
Уважаемый(ая) Ефим, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
