Показано с 1 по 16 из 16.

проблемы с retadpu27 и vedxg6ame4 (заявка № 11906)

  1. #1
    Junior Member Репутация
    Регистрация
    23.08.2007
    Адрес
    Харьков, Украина
    Сообщений
    11
    Вес репутации
    61

    Thumbs up проблемы с retadpu27 и vedxg6ame4

    Доброго времени суток всем!
    Рассказываю, в чем трабл. Итак, система ХР (со вторым сервис паком), фаервол - Аутпост (4 версия с обновленной базой), антивир - касперский 5 (с последними базами) стоял на момент заражения. Сейчас уже стоит Касперский ИС 6 (опять же с последними базами).
    Теперь собственно о проблеме. Работал в Инет (использовал Эксплорер, доступ - локальная сеть на Нет-БИОСе через шлюз), неожиданно ругнулся каспер, нашел два вируса - retadpu27.exe и vedxg6ame4.exe. Вирусы я удалил (по крайней мере, каспер сделал такой вид), а через пять минут заметил, что траффика набежало подозрительно много и канал постоянно загружен, хотя я уже ничего не качал.
    Далее последовали мои действия, уж не знаю, насколько они правильные.
    Отключил сеть и захотел посмотреть, что висит в памяти. Оказалось, Таск Менеджер мне недоступен (якобы отключен админом). Полез в msconfig отключил всякую гадость, которая туда прописалась (штук пять их было, названия уже не вспомню).
    Перезагрузил комп, поскольку Таск Менеджер остался недоступным, полез в реестр, где исправил DisableTaskMgr, прописав 0 вместо 1.
    Получив в распоряжение Таск Менеджер выгрузил все лишнее. Что нашел - поудалял.
    В безопасном режиме прогнал тест Каспером, удалил вирусы, которые он обнаружил, после чего снес все ссылки на них в реестре.
    После этого все почти пофиксилось. По крайней мере, такого дикого траффика уже не было, он был почти нормальным за одним исключением, исходящий был почти равен входящему при нормальной работе (то есть, ни писем, ни файлов в аське - ничего не отсылалось).
    По этой причине я сменил антивир Касперского 5 на КИС 6, но оставил аутпост (не знаю, насколько это правильно, в КИС я использую антивир, а Аутпост - как фаервол).
    КИС 6 нашел еще какое-то количество вирусов, которые благополучно удалил. Теперь исходящий трафик стал меньше, но все еще остается подозрительно большим (50-70% от входящего). Кроме того, даже при нулевой активности что-то куда-то все равно качается.
    Решил начать новую конфигурацию в Аутпосте, обнаружил, что идет дикий поток на 1900:UDP с удаленными адресами 18.х.х.х, 15.х.х.х, 127.х.х.х, 239.х.х.х и пр. Начал закрывать, вроде помогает, но все равно траффик какой-то "несоветский" получается.
    Тут моя фантазия иссякла, я заглянул в сеть и обнаружил этот форум. Помогите, пожалуйста, кто чем может.
    Скачал CureIt, проблем не обнаружила, равно, как и Аутпост с Каспером в безопасном/обычном режимах.
    Логи приводятся ниже.
    Прошу прощения за огромный пост, хотел все изложить конкретнее.
    С уважением, Иван
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
     BC_QrSvc('xpdx');
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteSvc('xpdx');
     BC_DeleteFile('C:\WINDOWS\system32\xpdx.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Добавлено через 1 минуту

    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    O21 - SSODL: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - (no file)
    Карантин пришлите согласно приложению 3 правил.
    Сделайте новые логи.
    Последний раз редактировалось Bratez; 24.08.2007 в 03:33. Причина: Добавлено
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    23.08.2007
    Адрес
    Харьков, Украина
    Сообщений
    11
    Вес репутации
    61
    Спасибо, щас попробую. Нормально, если логи пришлю утром? А то баиньки хочется?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Как хотите,у нас нет приказного порядка спокойной ночи

  6. #5
    Junior Member Репутация
    Регистрация
    23.08.2007
    Адрес
    Харьков, Украина
    Сообщений
    11
    Вес репутации
    61
    Доброго времени суток всем!

    Скрипт выполнил, в хайджеке пофиксил указанные строки.
    вот новые логи.
    С нетерпением жду дальнейших указаний.
    P.S. В архиве "virus.zip" - карантин из АВЗет, без одного файла (c дивиди с дистрибутивом каспера)
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Карантин вы высылали?
    Диск F у вас сд-ром?можете прислать autorun.inf,он попал в последний карантин,для проверки.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\aspimgr.exe');
    BC_DeleteFile('C:\WINDOWS\system32\aspimgr.exe');
    BC_DeleteSvc('aspimgr');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Повторите логи.

  8. #7
    Junior Member Репутация
    Регистрация
    23.08.2007
    Адрес
    Харьков, Украина
    Сообщений
    11
    Вес репутации
    61
    Спасибо за оперативный ответ, Muzzle!
    Итак, скрипт выполнил. Правда, при первом выполнении, винда повисла. АВЗ, вроде все сделал, а во время рубута система повисла.
    На всякий случай после перезагрузки еще раз выполнил скрипт, на этот раз обошлось без проблем, появился отчет "скрипт выполнен без ошибок" и винда спокойно ребутнулась.
    Вот новые логи, щас пришлю новый карантин. Просто, дивидюк с подозрительным файлом у меня стоит после обнаружения всех пробелем.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    В логах всё чисто,если проблем больше нет,то лечение можно считать законченным.
    Рекомендую работать под пользователем с ограниченными правами.
    По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
    Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
    Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  10. #9
    Junior Member Репутация
    Регистрация
    23.08.2007
    Адрес
    Харьков, Украина
    Сообщений
    11
    Вес репутации
    61
    Спасибо большое! Только один вопрос остался. Сейчас действительно лишний траффик не капает, вот только из Generic Host Processa что-то продолжает лезть на указанные удаленные адреса, хотя там все Аутпостом и заблокировано. Активность какая-то осталась. Насколько это нормально.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Сделайте дополнительный лог,как сказано тут http://www.virusinfo.info/showthread.php?t=10387
    только в обычном режиме.
    И что конкретно и куда лезет?

  12. #11
    Junior Member Репутация
    Регистрация
    23.08.2007
    Адрес
    Харьков, Украина
    Сообщений
    11
    Вес репутации
    61
    Доброй ночи, если не спите, Muzzle!
    В зип архиве - расширенный лог АВЗет и лог Аутпоста за последние три часа. По UDP:1900 идут запросы местный 192.168.х.х. (это не важно) и всякая гадость на 10.х.х.х, 15.х.х.х, 18.х.х.х
    если я ничего не путаю, то это - та самая активность, которая и кушала мой траффик.
    На данный момент, выполнение скриптов, работа в хай-джеке и блокирование портов в Аутпосте решили проблему де-факто. Просто мне интересно знать, насколко критично, что svchost.exe продолжает запрашивать эти адреса.

  13. #12

  14. #13
    Junior Member Репутация
    Регистрация
    23.08.2007
    Адрес
    Харьков, Украина
    Сообщений
    11
    Вес репутации
    61
    Да нет, грузил, вроде. history.zip закачал одновременно с ответом через "прислать запрошенные файлы"
    Вот так он доложен выглядеть
    070826_192026_history_46d218ca308f8.zip

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Его надо было к сообщению прикрепить да и лог вы сделали обычный...
    Посмотрел я ваш хистори,ничего страшного там нет,запросы эти бегают в вашей сети по протоколу IGMP,поэтому переживать вам незачем,чистого вам интернета.
    http://ru.wikipedia.org/wiki/IGMP

  16. #15
    Junior Member Репутация
    Регистрация
    23.08.2007
    Адрес
    Харьков, Украина
    Сообщений
    11
    Вес репутации
    61
    Спасибо большое!
    Удачи и вам.
    За ошибку с логом - прошу прощения, прощелкал

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 15
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Jovan1977, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Другие проблемы (включая проблемы с оборудованием)... (заявка №14614)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 06.04.2010, 03:00
    2. 1) Другие проблемы (включая проблемы с оборудованием) (заявка №13152)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 28.03.2010, 15:00
    3. Ответов: 4
      Последнее сообщение: 28.03.2009, 22:55
    4. Убить vedxg6ame4.exe
      От gunzzlinger в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 05:10
    5. try-count wind32 vedxg6ame4.exe
      От 17_sqrt_2 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 08.05.2008, 20:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01402 seconds with 20 queries