Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Вирус качает траффик, но не обнаруживается антивирусом (заявка № 10891)

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для misc11
    Регистрация
    08.07.2007
    Сообщений
    49
    Вес репутации
    69

    Thumbs up Вирус качает траффик, но не обнаруживается антивирусом

    Здравствуйте,
    Моя проблема в том, что по-видимому, у меня поселился какой-то вирус, который качает мой трафик: в момент подключения "принятых" байтов оказывается в считанные секудны от 1000 до 20 000 (каждый раз по разному), и "отправленные" байты качаются постоянно, вне зависимости от того, проявляю я какую-то активность в сети или нет. Проверяла антивирусом (Dr.WEb), он ничего не находит. Изредка вдруг становится все нормально, потом все начинается снова.
    Очень прошу помочь с этой проблемой
    Последний раз редактировалось misc11; 19.12.2007 в 06:26.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\TOSCDSPD.cpl','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\ckldrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\dllvga.dll','');
     QuarantineFile('C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\anubisps.dll','');
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvcrtd.exe','');
     BC_ImportQuarantineList;
    BC_LogFile(GetAVZDirectory + 'boot_copy.log');
    BC_Activate;
    RebootWindows(true);
    end.


    2.Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=10891

    3.boot_copy.log- из папки AVZ прикрепить к вашему следующему ответу



    P.s. Думаю наш подозреваемый последний в скрипте, на всякий случай проверить остальные не помешает, поэтому и получился такой скрипт.

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для misc11
    Регистрация
    08.07.2007
    Сообщений
    49
    Вес репутации
    69

    Карантин

    Скрипт выполнила, карантин заархивировала, и вроде закачала, но до конца не уверена - связь была отвратительная, думаю из-за того что одновременно качается что-то левое. Нужно ли снова отправлять файлы zip? (в Правилах написано что прежде чем повторно загружать, нужно уточнить есть ли в этом необходимость)
    Последний раз редактировалось misc11; 19.12.2007 в 06:26.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    Загрузите карантин повторно.
    Попробуйте поискать файлик ntos.exe при помощи AVZ --сервис-- поиск файлов на диске,если найдёте ,то поместите в карантин и отправьте по правилам.

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для misc11
    Регистрация
    08.07.2007
    Сообщений
    49
    Вес репутации
    69

    не отправляется архив

    Сегодня весь день пытаюсь отправить архив, но никак не получается. Могу ли я отправить его по почте на какой-нибудь адрес? Помогите, не знаю что делать.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Закачайте на zalil.ru и отправьте ссылку мне на PM.

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для misc11
    Регистрация
    08.07.2007
    Сообщений
    49
    Вес репутации
    69
    Я его все-таки закачала!
    Файл сохранён как070709_222316_virus_46927d140e890.zipРазмер файла338589MD5febbb37bb5164ef4e24e61e24dbd882e

    Добавлено через 7 минут
    Файл сохранён как:
    070709_222316_virus_46927d140e890.zip

    Размер файла: 338589

    MD5: febbb37bb5164ef4e24e61e24dbd882e

    К сожалению, не удалось найти тот файл о котором спрашивали (через AVZ)

    Добавлено через 12 часов 51 минуту
    извините, что напомниаю, но пишу пока связь более-менее нормальная - есть ли какие-нибудь новости?

    Добавлено через 8 часов 22 минуты
    Уважаемые хелперы, помогите пожалуйста... очень и очень жду...
    Последний раз редактировалось misc11; 10.07.2007 в 18:45. Причина: Добавлено сообщение

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
     BC_DeleteSvc('msupdate');
     BC_DeleteFile('c:\windows\system32\msvcrtd.exe');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пофиксить
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    повторите логи

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для misc11
    Регистрация
    08.07.2007
    Сообщений
    49
    Вес репутации
    69
    Все сделала, на данный момент вроде связь нормальная, качает байты умеренно, в Инет вышла с первого раза, чего не было раньше. Но по-моему, что-то осталось.. Отправляю новые логи.
    Последний раз редактировалось misc11; 19.12.2007 в 06:26.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    Всё чисто.
    ShadowUser - устанавливали?
    Если проблем больше нет,то лечение можно считать законченным.
    msvcrtd.exe - Backdoor.Win32.Agent.apx зараза которая скрывалась под сервисом msupdate,как раз и увеличивала исходящий трафик.
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  12. #11
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для misc11
    Регистрация
    08.07.2007
    Сообщений
    49
    Вес репутации
    69
    Спасибо! Да, Shadow User установила, хочу попробовать. У меня на компе иногда "посторонний" народ пасется, так что думаю будет невредно
    Теперь займусь выполнением всех рекомендаций из книги, но т.к. по долгу службы приходится бывать на китайских сайтах, думаю придется еще к вам обратиться за помощью . Пока не научусь надежно защищаться.
    Огромное СПАСИБО всем кто помогал!
    ЗЫ уточните пожалуйста, как можно поблагодарить хелперов - нажать на весы и оставить комментарий или есть специальная ссылка?
    Последний раз редактировалось misc11; 11.07.2007 в 08:17.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    да, именно нажать на весы и оставить отзыв.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    эти 2 главных правила вам помогут :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    Последний раз редактировалось drongo; 11.07.2007 в 09:32.

  15. #14
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для misc11
    Регистрация
    08.07.2007
    Сообщений
    49
    Вес репутации
    69
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты
    Уважаемый drongo, Оперу установила и пользуюсь теперь ей, но если не трудно, поскажите как установить права ограниченного пользователя - пробовала найти как это сделать, не удалось.
    И как отключить скрипты по умолчанию?
    Извиняюсь, если глупые вопросы, но сама найти действительно не смогла, честно пыталась..

    И еще, после проведения рекомендованного здесь лечения, я проверила компьютер программой Ad Aware, и обнаружились некоторые вирусы, я их удалила, теперь отчет выглядит так:

    Найдено Удалено
    Win32.Backdoor.Agent 14 10
    Win32.TrojanSpy.Peed 9 2
    Tracking Cookie 425 108

    То есть, удаленных меньше чем найденных - это значит что не удаленные остались? Когда запускаю программу, она выдает "0" вирусов. А в отчете - то, что я привела.

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Цитата Сообщение от misc11 Посмотреть сообщение
    А в отчете - то, что я привела.
    В каких фалах Ad Aware нашел эти "вирусы"?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    1.Так и думал, что кто-то не знает как установить права ограниченного пользователя.В этой статье после слов "Расскажу (а вдруг кто не знает?) " Не забудь нажать на выделенное синим за подробным объяснением.

    http://virusinfo.info/showpost.php?p=96895&postcount=1

    2.Для Оперы я же написал в #13 ( иногда помогает кликать подчёркнутые и выделенные синим слова )настроить: http://virusinfo.info/showthread.php?t=6577

  18. #17
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для misc11
    Регистрация
    08.07.2007
    Сообщений
    49
    Вес репутации
    69
    У меня все началось по новой. В первые же секунды выхода в Интернет трафик качает даже больше чем раньше Дня два было все идеально.
    Сделала логи, они во вложении.

    Может ли вирус засесть на симке? За два дня до начала проблемы мне начали приходить какие-то СМСки с файлами, я из конечно не принимала, но кто знает, вдруг случайно клавиша нажалась или еще что...

    Еще вопрос - если удалить Dr. Web лицензионный, потом можно будет его снова установить на компьютер? Не нужно будет заново покупать? Хочу проверить компьютер Касперским, а они вместе работать не могут.
    Последний раз редактировалось misc11; 19.12.2007 в 06:26.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Насчёт дрвеба, конечно можно удалить а потом поставить, только не забудьте сохранить регистационные данные где нибудь в укромном месте. Насколько я помню, это отдельный файл drweb.key
    насчёт сим карт не понял, при чём тут сотовый телефон то?

    в логах особо криминально не наблюдается. Трафик может например и это кушать :
    c:\program files\technisat dvb\bin\server4pc.exe
    А если уж собрались ставить касперского, то поставьте KIS7 (желательно со всеми галками при установке ) Тогда уже можно смотреть кто качает и сколько.Перед сканированием поставьте настройки на максимум.
    Последний раз редактировалось drongo; 15.07.2007 в 12:44.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
    ClearQuarantine;
     BC_QrFile('c:\windows\system32\ckldrv.sys');
     BC_QrFile('c:\windows\system32\sunotify.dll');
     BC_QrFile('c:\windows\system32\vsmvhk.dll');
     BC_Activate;
     RebootWindows(true);
    end.
    Пришлите файлы карантина по правилам раздела "Помогите".

  21. #20
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для misc11
    Регистрация
    08.07.2007
    Сообщений
    49
    Вес репутации
    69
    Файл сохранён как: 070716_174422_virus_469b76367cb76.zip

    Размер файла: 109164

    MD5: 6ddce2c57746abd33e358f7bec27462d

    Удивительная вещь: только что выходила в сеть - трафик качался как сумасшедший, пришлось отключить связь. Зашла через две секунды - и ВСЕ НОРМАЛЬНО! То есть лучше не бывает, Инет бегает быстро, трафик минимальный, качает только когда я что-то делаю в сети....
    И еще - я сохраняла логины и пароли на сайтах, чтобы не набирать их при каждом заходе, так вот они все сбросились.. что бы это значило?

  • Уважаемый(ая) misc11, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Вирус не обнаруживается
      От 4ek в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 17.12.2009, 00:35
    2. Вирус не обнаруживается
      От vichovo в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 08.05.2009, 13:34
    3. Ответов: 7
      Последнее сообщение: 22.02.2009, 02:42
    4. Ответов: 15
      Последнее сообщение: 22.02.2009, 01:52
    5. Не обнаруживается Вирус.
      От KonaeJer в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.01.2009, 21:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01529 seconds with 16 queries