-
Junior Member
- Вес репутации
- 62
Вирус бешено потребляет исходящий трафик
На компе поселилась зараза - бешено потребляет исходящий трафик.
На компе стоит MCAfee. При проверке находит nso12k.sys инфицированый New Malware.z, удаляет его. После перезагрузки этот файл появляется снова.
При проверке CureIT в SafeMode находит Spambot Trojan, удаляет его. Но после загрузки в обычном режиме Виндоус начинает глючить - выскакивают сообщения о каких то ошибках в сокетах. Восстановление по контрольной точке возвращает деятельность вируса.
Направляю вам файлы для исследования согласно правил
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\ipv6monl.dll','');
QuarantineFile('C:\WINDOWS\csrss.exe','');
QuarantineFile('C:\WINDOWS\system32\nso12k.sys','');
QuarantineFile('C:\WINDOWS\system32\PRTmate.dll','');
QuarantineFile('C:\WINDOWS\system32\rsvp322.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
QuarantineFile('c:\windows\system32\drivers\ntndis.exe','');
QuarantineFile('c:\windows\system32\cssrss.exe','');
DeleteFile('c:\windows\system32\cssrss.exe');
DeleteFile('c:\windows\system32\drivers\ntndis.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
DeleteFile('C:\WINDOWS\system32\rsvp322.dll');
DeleteFile('C:\WINDOWS\system32\nso12k.sys');
DeleteFile('C:\WINDOWS\csrss.exe');
DeleteFile('C:\WINDOWS\System32\ipv6monl.dll');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(14);
ExecuteRepair(2);
BC_Activate;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\System32\ipv6monl.dll (file missing)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'rsvp322.dll' missing
O13 - DefaultPrefix: http://webwarper.net/clicklog.pl/AUTODL~~/~av/
O13 - WWW Prefix: http://webwarper.net/clicklog.pl/AUTODL~~/~av/
O13 - Home Prefix: http://webwarper.net/clicklog.pl/AUTODL~~/~av/
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.
Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту WinSockFix.
-
-
Утилита winsockxpfix сбрасывает настройки сети. Крайне желательно их записать/запомнить.
Последний раз редактировалось PavelA; 11.07.2007 в 18:36.
Причина: Добавлено сообщение
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Спасибо за помощь, вирусная активность сошла на нет.
Выслал запрошеный вами файл.
Отправляю так же логи.
-
По карантину:
nso12k.sys - Trojan.Win32.Agent.amr
PRTmate.dll - чистый
rsvp322.dll - Trojan-Spy.Win32.BZub.bm
arm32.dll - Trojan.Win32.Agent.oh
ntndis.exe - Backdoor.Win32.Agobot.ahu
cssrss.exe - Trojan.Win32.Agent.amr
Выполните скрипт в AVZ
Код:
begin
ClearQuarantine;
BC_QrFile('C:\WINDOWS\System32\rasr.exe');
BC_Activate;
RebootWindows(true);
end.
Пришлите файлы карантина по правилам раздела "Помогите".
-
-
Junior Member
- Вес репутации
- 62
Отправил файл карантина. Еще раз огромное спасибо.
-
Выполните скрипт в AVZ
Код:
begin
BC_DisableSvc('PolicyAgentEventlog');
BC_DeleteSvc('PolicyAgentEventlog');
BC_Activate;
RebootWindows(true);
end.
Повторите логи.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\all users\\документы\\settings\\arm32.dll - Trojan.Win32.Agent.oh (DrWEB: BackDoor.Uragan)
- c:\\windows\\system32\\cssrss.exe - Trojan.Win32.Agent.amr (DrWEB: Trojan.DownLoader.28155)
- c:\\windows\\system32\\drivers\\ntndis.exe - Backdoor.Win32.Agobot.ahu (DrWEB: BackDoor.IRC.Evil)
- c:\\windows\\system32\\nso12k.sys - Trojan.Win32.Agent.amr (DrWEB: Trojan.DownLoader.28155)
- c:\\windows\\system32\\rsvp322.dll - Trojan-Spy.Win32.BZub.bm (DrWEB: Trojan.Spambot.2369)
-