Показано с 1 по 8 из 8.

Вирус бешено потребляет исходящий трафик (заявка № 10976)

  1. #1
    Junior Member Репутация
    Регистрация
    11.07.2007
    Сообщений
    60
    Вес репутации
    62

    Exclamation Вирус бешено потребляет исходящий трафик

    На компе поселилась зараза - бешено потребляет исходящий трафик.
    На компе стоит MCAfee. При проверке находит nso12k.sys инфицированый New Malware.z, удаляет его. После перезагрузки этот файл появляется снова.
    При проверке CureIT в SafeMode находит Spambot Trojan, удаляет его. Но после загрузки в обычном режиме Виндоус начинает глючить - выскакивают сообщения о каких то ошибках в сокетах. Восстановление по контрольной точке возвращает деятельность вируса.
    Направляю вам файлы для исследования согласно правил

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\System32\ipv6monl.dll','');
     QuarantineFile('C:\WINDOWS\csrss.exe','');
     QuarantineFile('C:\WINDOWS\system32\nso12k.sys','');
     QuarantineFile('C:\WINDOWS\system32\PRTmate.dll','');
     QuarantineFile('C:\WINDOWS\system32\rsvp322.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
     QuarantineFile('c:\windows\system32\drivers\ntndis.exe','');
     QuarantineFile('c:\windows\system32\cssrss.exe','');
     DeleteFile('c:\windows\system32\cssrss.exe');
     DeleteFile('c:\windows\system32\drivers\ntndis.exe');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
     DeleteFile('C:\WINDOWS\system32\rsvp322.dll');
     DeleteFile('C:\WINDOWS\system32\nso12k.sys');
     DeleteFile('C:\WINDOWS\csrss.exe');
     DeleteFile('C:\WINDOWS\System32\ipv6monl.dll');
     BC_ImportALL;
     ExecuteSysClean;
     ExecuteRepair(14);
     ExecuteRepair(2);
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
    O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\System32\ipv6monl.dll (file missing)
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O10 - Broken Internet access because of LSP provider 'rsvp322.dll' missing
    O13 - DefaultPrefix: http://webwarper.net/clicklog.pl/AUTODL~~/~av/
    O13 - WWW Prefix: http://webwarper.net/clicklog.pl/AUTODL~~/~av/
    O13 - Home Prefix: http://webwarper.net/clicklog.pl/AUTODL~~/~av/
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

    Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту WinSockFix.

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Утилита winsockxpfix сбрасывает настройки сети. Крайне желательно их записать/запомнить.
    Последний раз редактировалось PavelA; 11.07.2007 в 18:36. Причина: Добавлено сообщение
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    11.07.2007
    Сообщений
    60
    Вес репутации
    62
    Спасибо за помощь, вирусная активность сошла на нет.
    Выслал запрошеный вами файл.
    Отправляю так же логи.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    По карантину:
    nso12k.sys - Trojan.Win32.Agent.amr
    PRTmate.dll - чистый
    rsvp322.dll - Trojan-Spy.Win32.BZub.bm
    arm32.dll - Trojan.Win32.Agent.oh
    ntndis.exe - Backdoor.Win32.Agobot.ahu
    cssrss.exe - Trojan.Win32.Agent.amr

    Выполните скрипт в AVZ
    Код:
    begin
    ClearQuarantine;
     BC_QrFile('C:\WINDOWS\System32\rasr.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    Пришлите файлы карантина по правилам раздела "Помогите".

  7. #6
    Junior Member Репутация
    Регистрация
    11.07.2007
    Сообщений
    60
    Вес репутации
    62
    Отправил файл карантина. Еще раз огромное спасибо.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     BC_DisableSvc('PolicyAgentEventlog');
     BC_DeleteSvc('PolicyAgentEventlog');
     BC_Activate;
     RebootWindows(true);
    end.
    Повторите логи.

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 23
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\all users\\документы\\settings\\arm32.dll - Trojan.Win32.Agent.oh (DrWEB: BackDoor.Uragan)
      2. c:\\windows\\system32\\cssrss.exe - Trojan.Win32.Agent.amr (DrWEB: Trojan.DownLoader.28155)
      3. c:\\windows\\system32\\drivers\\ntndis.exe - Backdoor.Win32.Agobot.ahu (DrWEB: BackDoor.IRC.Evil)
      4. c:\\windows\\system32\\nso12k.sys - Trojan.Win32.Agent.amr (DrWEB: Trojan.DownLoader.28155)
      5. c:\\windows\\system32\\rsvp322.dll - Trojan-Spy.Win32.BZub.bm (DrWEB: Trojan.Spambot.2369)


  • Уважаемый(ая) Reanimator, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Бешено жрет трафик
      От stavros_sparrow в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.02.2011, 19:08
    2. Ответов: 4
      Последнее сообщение: 22.02.2009, 07:30
    3. Вирус - появился исходящий трафик
      От vladimir_K в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 06:34
    4. Вирус - большой исходящий трафик
      От vladimir_K в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 05:37
    5. Исходящий трафик svchost.exe, вирус ZZZ_lich
      От Electrika в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 02:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01390 seconds with 19 queries