Показано с 1 по 14 из 14.

Что-то съедает траффик! (заявка № 11531)

  1. #1
    Junior Member Репутация
    Регистрация
    02.08.2007
    Сообщений
    22
    Вес репутации
    38

    Thumbs up Что-то съедает траффик!

    Приветствую!
    Сегодня при подключении к инету (выделенный) обнаружил, что-то тратит траффик со страшной скоростью по 1Мбт а то и более в минуту. Опишу по порядку, что пытался сделать своими силами.
    1. Проверка Вебером в безопасном режиме с загрузкой сетевых файлов (просто безопасный не грузится) дала 4 зараженных вируса (3 удалены один излечен, точно уже не помню бьюсь с этим с 10 утра и голова уже туго варит). До этого проверял Авирой Антивир с обновленной базой она тоже накапала штук 10.
    2. Проверял AVZ раз 15 а то и более, если запускать готовые скрипты (как написано в инструкции) или просто проверку возниает синий экран с ошибкой Fastfat.sys - adress f83e4640 base at f83e4000. date stamp 41107eb7. И файлы лог не записываются. Та же ерунда если пытаюсь выполнить скрипт 4. Успел заметить сброс происходит при начале процесса исследования системы. Но при включенном режиме AVZGuard удается пройти при этом куча находится подозрений на маскировку процесса под UF или Rootkite в диспетчере процессов. И так удалось получить хоть какой то лог-файл (его все-таки решил прикрепить он махонький).
    3. Проверка HiJackThis - все удачно.
    4. И еще одна странность к часам десяти инет перестал поедать траффик как это было утром и днем.
    Уже и не знаю что делать. Помогите, плиз! Заранее спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    В безопасном режиме выполните скрипт

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     QuarantineFile('C:\DOCUME~1\ВИТАЛИЙ\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
     QuarantineFile('C:\Program Files\system101\system101.dll','');
     QuarantineFile('C:\WINDOWS\system32\itunesff.exe','');
     QuarantineFile('C:\WINDOWS\system32\icf.exe','');
     DeleteFile('C:\DOCUME~1\ВИТАЛИЙ\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
     DeleteFile('C:\WINDOWS\internt.exe');
     DeleteFile('C:\Program Files\system101\system101.dll');
     DeleteFile('C:\WINDOWS\system32\itunesff.exe');
     DeleteFile('C:\WINDOWS\system32\icf.exe');
     BC_DeleteSvc('ICF');
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrFile('C:\WINDOWS\system32\drivers\runtime.sys');
     BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
    BC_LogFile(GetAVZDirectory + 'bc_log.txt');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11531

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
     
    O16 - DPF: {33331111-1111-1111-1111-611111193423} -
    O16 - DPF: {33331111-1111-1111-1111-611111193429} -
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    O16 - DPF: {33331111-1131-1111-1111-611111193428} -
    После попробуйте сделать логи по правилам из обычного режима,должно получиться.
    И прикрепите bc_log.txt из директории AVZ к вашему следующему сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    02.08.2007
    Сообщений
    22
    Вес репутации
    38
    Все проделал. Удачно! Высылаю файлы, кроме Bc_log.txt - его вообще просто нет (искал через поиск винды). Вроде прокачка закончилась, а вот файлы явно заражены.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    ещё новый лог HiJackThis сделайте пожалуйста.

  6. #5
    Junior Member Репутация
    Регистрация
    02.08.2007
    Сообщений
    22
    Вес репутации
    38
    Выложил нужный файл.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\DOCUME~1\ВИТАЛИЙ\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\Program Files\system101\system101.dll');
     DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
     BC_DeleteFile('C:\Program Files\system101\system101.dll');
     BC_DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\DOCUME~1\ВИТАЛИЙ\LOCALS~1\Temp\winlogon.exe');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
     
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O2 - BHO: XY33 Popup Blocker - {4B5A7560-16C6-4063-86D3-000000000002} - C:\Program Files\system101\system101.dll (file missing)
    O9 - Extra button: (no name) - {4B5A7560-16C6-4063-86D3-000000000003} - C:\Program Files\system101\system101.dll (file missing)
    O9 - Extra 'Tools' menuitem: Блокировка всплывающих окон - {4B5A7560-16C6-4063-86D3-000000000003} - C:\Program Files\system101\system101.dll (file missing)
    И снова логи
    PS.А что в прошый карантин попал только 1 файл?

  8. #7
    Junior Member Репутация
    Регистрация
    02.08.2007
    Сообщений
    22
    Вес репутации
    38
    В прошлый раз только один файл попал в карантин. Сейчас добавился еще один из папки OutpostFirewall (просто только сегодня его установил).
    При выполнении последнего скрипта выскакивает ошибка Failed to set data "DisplayName" и в протоколе Ошибка в работе антируткита шаг 11.
    В безопасном режиме все прошло.
    Вот новые логи.
    Но почему у одного файла нет в свойстве что он изменился. Наверное поэтому он и не загружается на сайт. Наверное стоит удалять эти файлы перед новым запуском?
    Что же это за зараза такая?!
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    Вы о каком файле говорите? о virusinfo_syscure.zip? И ошибка скрипта моего, или стандартного AVZ?
    А так в логах всё чистенько стало,загрузите ещё virusinfo_syscure.zip(если не загружается удалите просто старые логи)

  10. #9
    Junior Member Репутация
    Регистрация
    02.08.2007
    Сообщений
    22
    Вес репутации
    38
    virusinfo_syscure.zip не загрузился и у него в свойствах стоит, что последнее изменение в 10-21 было. Не удается его выслать. Удалю файлы из папки ЛОГ и заново проверю. Сразу же вышлю.
    Ошибка вашего скрипта при запуске из обычного режима.
    И вопросик - ведь проводя стандартный скрипт проверки в протоколе пишется что нейтрализован антируткит. Значит ли этого что он все-таки где-то жив?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    Это пишет про перехваты функций от аутпоста и алкоголя.Ждём логов.

  12. #11
    Junior Member Репутация
    Регистрация
    02.08.2007
    Сообщений
    22
    Вес репутации
    38
    Поразительно! Но второго нужного лога нет в папке LOG! Есть только virusinfo_cure.zip и тот что отправил (только уже новый). Может я что в настройках натворил? Ничего не понимаю.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    Попробуйте заного распаковать AVZ из архива который скачали,или скачать снова.Как состояние компьютера? Судя по тем логам которые у нас есть,мы всё почистили

  14. #13
    Junior Member Репутация
    Регистрация
    02.08.2007
    Сообщений
    22
    Вес репутации
    38
    Спасибо за помощь!
    С виду вроде нормально на компе, Firewall не о чем серьезном вроде не сообщает (по крайней мере пока).
    Перераспаковал имеющийся архив AVZ, прогнал скрипт 3 - нема нужного файла. Загадка.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\виталий\\locals~1\\temp\\winlogon.ex e - Trojan.Win32.Agent.asu (DrWEB: Trojan.Packed.147)


  • Уважаемый(ая) Vit777, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. съедает некоторые файлы .exe
      От Dagomir в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 05.04.2011, 11:03
    2. Вирус съедает место на С
      От irimil в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.10.2010, 14:35
    3. svchost съедает 100% ЦПУ
      От 5tek5 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 24.08.2010, 12:45
    4. Lsass.exe съедает 98% ЦП. [Net-Worm.Win32.Kido.ih ]
      От tom в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 09:49
    5. Что то съедает мой трафик.
      От Skvoll в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 08:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00858 seconds with 17 queries