вирус блокирует входящий трафик и чтото скачивает

**malaxov.m** · 01.11.2009, 21:10

ПРошу помочь вылечить!
симптомы:
вирус активизируется при подключению к инету (wi-fi)
процесс System максимально грузит ЦП, блокирует входящий трафик,
и что-то сливает исходящим трафиком.
при отключении интернета мониторинг сети AVP показывает
что процесс system лихорадочно долбится на адреса
78.140.145.144 port 80
91.202.61.10 port 443

результат проверки базы AVZ4 на virusinfo
http://virusinfo.info/showpost.php?p...postcount=3950
Внимание, в архиве обнаружены опасные или вредоносные объекты:
C:\WINDOWS\system32\pqrs.tmo: Backdoor.Win32.Bredavi.apo
C:\WINDOWS\System32\DRIVERS\nups.sys: Backdoor.Win32.Small.zn

обновить AVP не могу, т.к. у меня стоит корпоративная версия, а я на удаленке без реального IP, а админ внесознанке

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Никита Соловьев** · 01.11.2009, 21:11

Правила

**malaxov.m** · 01.11.2009, 21:23

Сообщение от Venus Doom

Правила

я все прочел и все выполнил, что я упустил в правилах?
я не могу скачать 19Мб - я ж написал - вирус блокирует входящий трафик. пока он "раскачивается" я могу успеть максимум скачать 0.5-1 Мб.
а пишу я это выходя с удаленного сервера через mstsc.exe, предварительно заблокировав все порты TCP/IP

Добавлено через 1 минуту

я уже вторые сутки воюю голыми руками, прошу помощи реальной, а не нравоучений.
спасибо

**Никита Соловьев** · 01.11.2009, 21:24

Это и есть реальная помощь. AVZ весит 5-6 МВ. Скачайте на другом ПК и запишите на флешку или диск

**malaxov.m** · 01.11.2009, 21:35

так я уже скачал и все сделал и карантин отправил и ответ получил...
и все это описал детально...

вирус-то мне как изгнать !!!???

Добавлено через 6 минут

у меня нет другого ПК, флешки и диска, есть только wi-fi.

если возможно, подскажите как перекачать файлы с удаленного сервера подключеного через mstsc.exe

**Никита Соловьев** · 01.11.2009, 21:40

то, что Вы отправили карантин - это хорошо.
Нужно еще три файла выложить здесь. Это файлы virusinfo_syscheck.zip, virusinfo_syscure.zip и hijackthis.log

**malaxov.m** · 01.11.2009, 21:50

вот они!

**malaxov.m** · 01.11.2009, 21:51

а карантин еще раз сюда закачивать или уже не надо?

**Никита Соловьев** · 01.11.2009, 22:01

1. Пофиксите в HJT:

Код:

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pqrs.tmo printer

2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\ntfs_ext7.exe','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\nups.sys','');
 QuarantineFile('C:\WINDOWS\system32\pqrs.tmo','');
 DeleteService('Nups');
 DeleteFile('C:\WINDOWS\system32\pqrs.tmo');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys');
 DeleteFile('C:\WINDOWS\system32\ntfs_ext7.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip из папки AVZ пришлите, используя ссылку прислать запрошенный карантин вверху этой темы

Сделайте новые логи

**malaxov.m** · 01.11.2009, 22:29

пофиксил и скрипты выполнил.
1) новые логи присылать?
2) карантин закачивать - новый?
3) новые логи и карантин делать когда вирус активно работает или достаточно когда он спит? (могу сделать 2 версии, нужно?)
просто мне очень уж страшно что-либо делать когда он неизвестно что у меня скачивает

**Никита Соловьев** · 01.11.2009, 22:34

1) новые логи присылать?

Да

2) карантин закачивать - новый?

Файл quarantine.zip из папки AVZ пришлите, используя ссылку прислать запрошенный карантин вверху этой темы

3) новые логи и карантин делать когда вирус активно работает или достаточно когда он спит? (могу сделать 2 версии, нужно?)

Делайте, когда Вас просят. От вируса мы избавимся

**malaxov.m** · 01.11.2009, 23:38

вот свежие логи

**malaxov.m** · 01.11.2009, 23:44

Результат загрузки
Файл сохранён как 091101_234342_Quarantine_4aedf2febd28b.zip
Размер файла 2063724
MD5 9b84f2edfa4d3d47bc48d044564f15ef

Файл закачан, спасибо!

**thyrex** · 01.11.2009, 23:57

В логах чисто. Проблема решена?

**malaxov.m** · 02.11.2009, 12:39

да, спасибо!
проверил др.вебом в safemode - чисто.

при загрузке выскакивает сообщение "не найдена pqrs.tmo" - что с этим делать?

прошу совета: полезен ли Spybot-S&D вкупе с AVP ?

**Никита Соловьев** · 02.11.2009, 17:06

при загрузке выскакивает сообщение "не найдена pqrs.tmo" - что с этим делать?

Пофиксите в hijackthis:

Код:

F2 - REG:system.ini: Shell=explorer.exe rundll32.exe pqrs.tmo printer

прошу совета: полезен ли Spybot-S&D вкупе с AVP ?

AVP сам в состоянии справиться со шпионскими программами

**CyberHelper** · 03.11.2009, 17:06

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 23
В ходе лечения вредоносные программы в карантинах не обнаружены

вирус блокирует входящий трафик и чтото скачивает (заявка № 58990)

Опции темы

вирус блокирует входящий трафик и чтото скачивает

Антивирусная помощь

Итог лечения

Похожие темы

Аваст периодически блокирует создание файла x,входящий трафик значительно превышает исходящий,периодически прерывается и блокируется соединение с интернетом...

вирус блокирует браузеры,органичивает интернет,открывает прокси и нитернет.com

Блокирует входящий трафик

svchost.exe выкачивает трафик

Выкачивает трафик + не удаляется вирус [Rootkit.Win32.Agent.fsx, Trojan.Win32.Agent.bcnt, Trojan-Dropper.Win32.Agent.xbt ]

Метки для этой темы

Ваши права в разделе