Показано с 1 по 18 из 18.

ADSL постоянно что-то отсылает и принимает (обнаруженны трояны) (заявка № 11895)

  1. #1
    Junior Member Репутация
    Регистрация
    15.06.2007
    Сообщений
    18
    Вес репутации
    39

    Thumbs up ADSL постоянно что-то отсылает и принимает (обнаруженны трояны)

    Установлен антивирус Касперского.
    Находит трояны, которые то лечит, то удаляет.
    ADSL постоянно качает траффик.
    После перезагрузки компьютера - все повторяется сначала.
    Касперский снова находит теже самые трояны и удаляет.
    И так по кругу.
    Помогите вычистить компьютер от вирусов.
    Вложения Вложения
    Последний раз редактировалось Web-ines; 23.08.2007 в 15:00. Причина: не могу закрепить логи

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните правила

  4. #3
    Junior Member Репутация
    Регистрация
    15.06.2007
    Сообщений
    18
    Вес репутации
    39
    Выполнил. Закрепил логи.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
     QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
     QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
     QuarantineFile('C:\Program Files\Microsoft Office\Office10\1033\MSOHELP.EXE','');
     QuarantineFile('c:\docume~1\adminnew\locals~1\temp\winlogon.exe','');
     DeleteFile('c:\docume~1\adminnew\locals~1\temp\winlogon.exe');
     DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
    The worst foe lies within the self...

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Стартовую страницу в инете сами устанавливали:

    Код:
    O4 - HKLM\..\Run: [NvCpl] reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t "REG_SZ" /d "http://shop.tu1.ru/" /f
    Если нет, то надо профиксить.

    Обновить антивирус. Видать у него старые базы.
    @Kuzz
    Для этого зверя в скрипте
    'c:\windows\system32\svchost.exe:exe.exe:$DATA'
    можно написать BC_QrSvc('ICF');
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    15.06.2007
    Сообщений
    18
    Вес репутации
    39
    Скрипт выполнил. Карантин отправил.

    Добавлено через 3 минуты

    Строку пофиксил. Сам на стартовую страницу не устанавливал.
    Антивирус Касперского обновляется ежедневно сам, так что базы не старые.

    Добавлено через 1 минуту

    Подскажите где нужно написать BC_QrSvc('ICF');
    Последний раз редактировалось Web-ines; 23.08.2007 в 15:27. Причина: Добавлено

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    'c:\windows\system32\svchost.exe:exe.exe:$DATA'
    Свежая модификация! Отправил в ЛК.
    BitAccelerator.dll - отсутствует
    MSOHELP.EXE - чистый.

    Пофиксите в HijackThis:
    Код:
    O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll (file missing)
    O4 - HKLM\..\Run: [NvCpl] reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t "REG_SZ" /d "http://shop.tu1.ru/" /f
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\AdminNew\LOCALS~1\Temp\winlogon.exe
    Добавлено через 1 минуту

    Выполните скрипт в AVZ:
    Код:
    begin
     BC_DeleteSvc('ICF');
     BC_Activate;
     RebootWindows(true);
    end.
    и сделайте новые логи.
    Последний раз редактировалось Bratez; 23.08.2007 в 15:34. Причина: Добавлено
    I am not young enough to know everything...

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от Web-ines Посмотреть сообщение
    Скрипт выполнил. Карантин отправил.
    Подскажите где нужно написать BC_QrSvc('ICF');
    Это не для Вас, это я для Kuzz мысли вслух написал.

    Логи нужно будет новые сделать после всего этого.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    15.06.2007
    Сообщений
    18
    Вес репутации
    39

    Все сделал - логи отправил

    Подскажите, что делать.
    После выполнения 4 и 5 пунктов при перезагрузке
    пропало половина ярлыков с рабочего стола
    пропали все закладки в избранном в IE
    пропали (нет подключенных) сетевые диски

    С чем это связано и можно ли вернуть ярлыки, закладки и т.д.

    И при выполнении последнего задания нет этих строчек
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\AdminNew\LOCALS~1\Temp\winlogon.exe

    Так, что их я не фиксил.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    С чем это связано и можно ли вернуть ярлыки, закладки и т.д.
    Более чем странное дело - удалялись только заведомо вредоносные объекты, ничего такого, что могло повлиять на ярлыки и проч...

    И при выполнении последнего задания нет этих строчек
    Нормально. Пофиксились автоматом при выполнении скрипта.
    I am not young enough to know everything...

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от Web-ines Посмотреть сообщение
    После выполнения 4 и 5 пунктов при перезагрузке
    пропало половина ярлыков с рабочего стола
    пропали все закладки в избранном в IE
    пропали (нет подключенных) сетевые диски

    С чем это связано и можно ли вернуть ярлыки, закладки и т.д.
    Похоже, что слетел профиль, и система создала новый. Ищите обломки в Documents and Settings - старый рабочий стол, старое меню, старое избранное. Сетевые диски придётся заново подключать, они в реестре хранятся.

  13. #12
    Junior Member Репутация
    Регистрация
    15.06.2007
    Сообщений
    18
    Вес репутации
    39
    Вроде разобрался.
    Да слетел профиль.
    Скопировал из старого в новый.
    Ярлыки, закладки восстановил.
    Office пришлось переустановить.

    Подскажите, что-там с логами - чистые или еще нужно лечить.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    все с чем боролись убито ... вопрос C:\Documents and Settings\AdminNew\Local Settings\Temp\Временная папка 1 для kf151.zip\keyfinder.exe/{RAR-SFX}/officekey.exe и
    C:\Documents and Settings\AdminNew\Local Settings\Temp\Временная папка 2 для kf151.zip\keyfinder.exe/{RAR-SFX}/officekey.exe вам это нужно ?
    и вот этот ключик не меняли HKCR\scrfile\shell\open\command\ ?

  15. #14
    Junior Member Репутация
    Регистрация
    15.06.2007
    Сообщений
    18
    Вес репутации
    39
    Извините, что вчера не смог ответить.
    Все, что описано выше - мне вроде не нужно.
    Даже не знаю, что это за файлики.
    И ключ (HKCR\scrfile\shell\open\command\ ?) не менял.
    Что мне сделать дальше?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    DeleteFile('C:\Documents and Settings\AdminNew\Local Settings\Temp\Временная папка 2 для kf151.zip\keyfinder.exe');
    DeleteFile('C:\Documents and Settings\AdminNew\Local Settings\Temp\Временная папка 1 для kf151.zip\keyfinder.exe');
    end.
    Логи чистые,если проблем больше нет ,то лечение можно считать законченным.
    Советую работать за компьютером под пользователем с ограниченными правами.
    По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
    Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  17. #16
    Junior Member Репутация
    Регистрация
    15.06.2007
    Сообщений
    18
    Вес репутации
    39
    Скрипт выполнил.
    Книгу - скачал, на выходных прочитаю.
    Собрал базу без.файлов - закачал:
    Результат загрузки
    Файл сохранён как 070824_085730_virusinfo_files_ADMIN_46ce6551a8344. zip
    Размер файла 17033903
    MD5 ede042ef67f228d8f9727eec19116557

    Файл закачан, спасибо!

    Но во время сбора, много файлов попало в карантин.
    Мне их пока не трогать, так и оставить как есть.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    Насколько много? И что за файлы попали?Наверно кряки от программ если да,то просто очистите карантин.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 19
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\adminnew\\locals~1\\temp\\winlogon.e xe - Trojan-Proxy.Win32.Puma.rk (DrWEB: Trojan.Packed.147)
      2. c:\\windows\\system32\\svchost.exe:exe.exe:$data - Trojan.Win32.Obfuscated.hd (DrWEB: BackDoor.Bolg)


  • Уважаемый(ая) Web-ines, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. постоянно пропадает интернет ADSL модем
      От 1egenga в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.08.2010, 18:21
    2. Постоянно что то качает и отсылает
      От Lem167 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 05:17
    3. ПОстоянно что-то качает и отсылает
      От Igor в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 05:02
    4. ADSL-роутер D-LINK DSL-G604T и "трояны"? - невероятно!
      От amrin в разделе Сетевые атаки
      Ответов: 7
      Последнее сообщение: 25.11.2007, 09:51
    5. ADSL постоянно что-то принимает и отсылает
      От Web-ines в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 03.07.2007, 13:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00275 seconds with 17 queries