-
Вирус качает траффик, но не обнаруживается антивирусом
Здравствуйте,
Моя проблема в том, что по-видимому, у меня поселился какой-то вирус, который качает мой трафик: в момент подключения "принятых" байтов оказывается в считанные секудны от 1000 до 20 000 (каждый раз по разному), и "отправленные" байты качаются постоянно, вне зависимости от того, проявляю я какую-то активность в сети или нет. Проверяла антивирусом (Dr.WEb), он ничего не находит. Изредка вдруг становится все нормально, потом все начинается снова.
Очень прошу помочь с этой проблемой
Последний раз редактировалось misc11; 19.12.2007 в 06:26.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\TOSCDSPD.cpl','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\ckldrv.sys','');
QuarantineFile('C:\WINDOWS\system32\dllvga.dll','');
QuarantineFile('C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\anubisps.dll','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrtd.exe','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_copy.log');
BC_Activate;
RebootWindows(true);
end.
2.Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=10891
3.boot_copy.log- из папки AVZ прикрепить к вашему следующему ответу
P.s. Думаю наш подозреваемый последний в скрипте, на всякий случай проверить остальные не помешает, поэтому и получился такой скрипт.
-
-
Карантин
Скрипт выполнила, карантин заархивировала, и вроде закачала, но до конца не уверена - связь была отвратительная, думаю из-за того что одновременно качается что-то левое. Нужно ли снова отправлять файлы zip? (в Правилах написано что прежде чем повторно загружать, нужно уточнить есть ли в этом необходимость)
Последний раз редактировалось misc11; 19.12.2007 в 06:26.
-
Загрузите карантин повторно.
Попробуйте поискать файлик ntos.exe при помощи AVZ --сервис-- поиск файлов на диске,если найдёте ,то поместите в карантин и отправьте по правилам.
-
-
не отправляется архив
Сегодня весь день пытаюсь отправить архив, но никак не получается. Могу ли я отправить его по почте на какой-нибудь адрес? Помогите, не знаю что делать.
-
Закачайте на zalil.ru и отправьте ссылку мне на PM.
-
-
Я его все-таки закачала!
Файл сохранён как070709_222316_virus_46927d140e890.zipРазмер файла338589MD5febbb37bb5164ef4e24e61e24dbd882e
Добавлено через 7 минут
Файл сохранён как:
070709_222316_virus_46927d140e890.zip
Размер файла: 338589
MD5: febbb37bb5164ef4e24e61e24dbd882e
К сожалению, не удалось найти тот файл о котором спрашивали (через AVZ)
Добавлено через 12 часов 51 минуту
извините, что напомниаю, но пишу пока связь более-менее нормальная - есть ли какие-нибудь новости?
Добавлено через 8 часов 22 минуты
Уважаемые хелперы, помогите пожалуйста... очень и очень жду...
Последний раз редактировалось misc11; 10.07.2007 в 19:45.
Причина: Добавлено сообщение
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteSvc('msupdate');
BC_DeleteFile('c:\windows\system32\msvcrtd.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пофиксить
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
повторите логи
-
-
Все сделала, на данный момент вроде связь нормальная, качает байты умеренно, в Инет вышла с первого раза, чего не было раньше. Но по-моему, что-то осталось.. Отправляю новые логи.
Последний раз редактировалось misc11; 19.12.2007 в 06:26.
-
Всё чисто.
ShadowUser - устанавливали?
Если проблем больше нет,то лечение можно считать законченным.
msvcrtd.exe - Backdoor.Win32.Agent.apx зараза которая скрывалась под сервисом msupdate,как раз и увеличивала исходящий трафик.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Последний раз редактировалось Muzzle; 11.07.2007 в 09:11.
-
-
Спасибо! Да, Shadow User установила, хочу попробовать. У меня на компе иногда "посторонний" народ пасется, так что думаю будет невредно
Теперь займусь выполнением всех рекомендаций из книги, но т.к. по долгу службы приходится бывать на китайских сайтах, думаю придется еще к вам обратиться за помощью . Пока не научусь надежно защищаться.
Огромное СПАСИБО всем кто помогал!
ЗЫ уточните пожалуйста, как можно поблагодарить хелперов - нажать на весы и оставить комментарий или есть специальная ссылка?
Последний раз редактировалось misc11; 11.07.2007 в 09:17.
-
да, именно нажать на весы и оставить отзыв.
-
-
эти 2 главных правила вам помогут :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
Последний раз редактировалось drongo; 11.07.2007 в 10:32.
-
-
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты
Уважаемый drongo, Оперу установила и пользуюсь теперь ей, но если не трудно, поскажите как установить права ограниченного пользователя - пробовала найти как это сделать, не удалось.
И как отключить скрипты по умолчанию?
Извиняюсь, если глупые вопросы, но сама найти действительно не смогла, честно пыталась..
И еще, после проведения рекомендованного здесь лечения, я проверила компьютер программой Ad Aware, и обнаружились некоторые вирусы, я их удалила, теперь отчет выглядит так:
Найдено Удалено
Win32.Backdoor.Agent 14 10
Win32.TrojanSpy.Peed 9 2
Tracking Cookie 425 108
То есть, удаленных меньше чем найденных - это значит что не удаленные остались? Когда запускаю программу, она выдает "0" вирусов. А в отчете - то, что я привела.
-
Сообщение от
misc11
А в отчете - то, что я привела.
В каких фалах Ad Aware нашел эти "вирусы"?
-
-
1.Так и думал, что кто-то не знает как установить права ограниченного пользователя.В этой статье после слов "Расскажу (а вдруг кто не знает?) " Не забудь нажать на выделенное синим за подробным объяснением.
http://virusinfo.info/showpost.php?p=96895&postcount=1
2.Для Оперы я же написал в #13 ( иногда помогает кликать подчёркнутые и выделенные синим слова )настроить: http://virusinfo.info/showthread.php?t=6577
-
-
У меня все началось по новой. В первые же секунды выхода в Интернет трафик качает даже больше чем раньше Дня два было все идеально.
Сделала логи, они во вложении.
Может ли вирус засесть на симке? За два дня до начала проблемы мне начали приходить какие-то СМСки с файлами, я из конечно не принимала, но кто знает, вдруг случайно клавиша нажалась или еще что...
Еще вопрос - если удалить Dr. Web лицензионный, потом можно будет его снова установить на компьютер? Не нужно будет заново покупать? Хочу проверить компьютер Касперским, а они вместе работать не могут.
Последний раз редактировалось misc11; 19.12.2007 в 06:26.
-
Насчёт дрвеба, конечно можно удалить а потом поставить, только не забудьте сохранить регистационные данные где нибудь в укромном месте. Насколько я помню, это отдельный файл drweb.key
насчёт сим карт не понял, при чём тут сотовый телефон то?
в логах особо криминально не наблюдается. Трафик может например и это кушать :
c:\program files\technisat dvb\bin\server4pc.exe
А если уж собрались ставить касперского, то поставьте KIS7 (желательно со всеми галками при установке ) Тогда уже можно смотреть кто качает и сколько.Перед сканированием поставьте настройки на максимум.
Последний раз редактировалось drongo; 15.07.2007 в 13:44.
-
-
Выполните скрипт в AVZ
Код:
begin
ClearQuarantine;
BC_QrFile('c:\windows\system32\ckldrv.sys');
BC_QrFile('c:\windows\system32\sunotify.dll');
BC_QrFile('c:\windows\system32\vsmvhk.dll');
BC_Activate;
RebootWindows(true);
end.
Пришлите файлы карантина по правилам раздела "Помогите".
-
-
Файл сохранён как: 070716_174422_virus_469b76367cb76.zip
Размер файла: 109164
MD5: 6ddce2c57746abd33e358f7bec27462d
Удивительная вещь: только что выходила в сеть - трафик качался как сумасшедший, пришлось отключить связь. Зашла через две секунды - и ВСЕ НОРМАЛЬНО! То есть лучше не бывает, Инет бегает быстро, трафик минимальный, качает только когда я что-то делаю в сети....
И еще - я сохраняла логины и пароли на сайтах, чтобы не набирать их при каждом заходе, так вот они все сбросились.. что бы это значило?