Показано с 1 по 16 из 16.

Исходящий трафик svchost.exe, вирус ZZZ_lich (заявка № 14874)

  1. #1
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    8
    Вес репутации
    38

    Exclamation Исходящий трафик svchost.exe, вирус ZZZ_lich

    Вот с такой неприятностью столкнулась. Попыталась самостоятельно убить вирус, но не вышло.
    С помощью AVZ удалила файлы lich.exe и lich.sys из корневого каталога, а также записи из реестра. Других объектов, относящихся к этому вирусу, не обнаружила. Просканировала диск свежескачанной утилитой Dr. Web CureIt, из вредоносных она нашла только autorun.inf в папке от флэшки на Рабочем столе, Касперский верещит только на файлы из папки System Volume Information. Восстановление системы я отключила. Но трафик продолжает утекать...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Выполните скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('D:\WINDOWS\system32\tmp_o.dll','');
     BC_ImportQuarantineList;
     BC_QrFile('D:\WINDOWS\system32\msasvc.exe');
     BC_DeleteFile('D:\WINDOWS\system32\msasvc.exe');
     BC_QrSvc('MsaSvc');
     BC_DeleteSvc('MsaSvc');
     BC_Activate;
     RebootWindows(true);
    end.
    Карантин пришлите

  4. #3
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    8
    Вес репутации
    38
    Выслала. Жду приговора - форматировать нельзя помиловать :]

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Карантин пришел пустой.

    Нужно делать новые логи.

    Вот эту строчку надо профиксить для порядка:
    F2 - REG:system.ini: UserInit=D:\WINDOWS\System32\userinit.exe
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    8
    Вес репутации
    38
    Done.
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    В креках лежат трояны. Их лучше удалить, незаряженное ружье один раз может
    выстрелить.
    D:\Install Files\MultiTranse\MultiTranse_v4.2.5-DIGERATI\crack.rar/{RAR}/crack.exe >>>>> Trojan-Downloader.Win32.Small.ddp
    D:\Install Files\Sothink.SWF.Decompiler.v3.6\crack.rar/{RAR}/crack.exe >>>>> Trojan-Downloader.Win32.Small.ddp

    DAP надо бы деинсталлировать. В нем много Adware.

    В hijackthis профиксить:
    Код:
    O20 - AppInit_DLLs: D:\WINDOWS\system32\tmp_o.dll,D:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
    Через AVZ поискать : D:\WINDOWS\system32\tmp_o.dll. Если найдется, то загрузить в карантин и прислать.

    Возможно, после окончания лечения придется переустанавливать Касперского.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    8
    Вес репутации
    38
    Крэки удалены, DAP деинсталлирован, файл D:\WINDOWS\system32\tmp_o.dll не найден, строчка профиксена, Касперский работает нормально.

    Я забыла упомянуть, что у меня локальная сеть из двух домашних компьютеров, и трафик идёт то по шлюзу интернета, то по локалке (причём только тогда, когда шлюз включён), а что за трафик, я понять не могу! Раньше его не было, я заметила его при появлении вируса lich.
    Разумеется, я проверила и ХР на главном компьютере, ничего подозрительного не было найдено.

    Сетевой экран Касперского показывает:
    Код:
    SVCHOST.EXE	-K NETSVCS	TCP	Исходящее	192.168.0.61	1067	192.168.0.1	2869	00:01:27	124,3 КБ	  65,6 КБ
    Последний раз редактировалось Electrika; 05.12.2007 в 20:15.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Надо делать новые логи. Смотреть, что получилось в итоге этих всех разборок.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    8
    Вес репутации
    38
    Я обнаружила ещё два вредоносных объекта, причём глазами Антивирусные программы не обращают на них внимания. p423ck.exe в папке D:\Program Files и desktop.ini на D. Содержимое desktop.ini мне уже знакомо:
    Код:
    [.ShellClassInfo]
    HTMLInfoTipFile=file://Comment.htt
    ConfirmFileOp = 0
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    Восстановление системы: включено \ отключить ....
    пофиксите ....
    Код:
    O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
    пришлите найденные файлы согласно приложения 3 правил ...

  12. #11
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    8
    Вес репутации
    38
    Нашёлся ещё один файл - lich.dat в папке system32, правда пустой.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    По окончании лечения смените все пароли... имхо они уже утекли на сторону

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от Electrika Посмотреть сообщение
    Я обнаружила ещё два вредоносных объекта, причём глазами Антивирусные программы не обращают на них внимания. p423ck.exe в папке D:\Program Files
    Вот этого надо проверить на virustotal.com. О рез-х отпишись.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    D:\Program Files\p423ck.exe - Trojan.Win32.Small.vi
    Удалите его.

    D:\destop.ini не опасен, но тоже удалите.
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    8
    Вес репутации
    38
    Цитата Сообщение от PavelA Посмотреть сообщение
    Вот этого надо проверить на virustotal.com. О рез-х отпишись.
    Поздно, уже удалила его...

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\\program files\\p423ck.exe - Trojan.Win32.Small.vi (DrWEB: Trojan.PWS.LDPinch.2526)


  • Уважаемый(ая) Electrika, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. svchost генерирует исходящий трафик
      От Odhako в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 08.01.2010, 12:59
    2. Ответов: 4
      Последнее сообщение: 22.02.2009, 07:30
    3. Непонятный исходящий трафик от svchost.exe
      От AndBel в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 06:27
    4. Исходящий трафик по 80 порту от svchost
      От regButch в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 23.10.2008, 15:59
    5. Исходящий трафик и маскировка svchost.exe
      От Commilfo в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.10.2007, 08:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00869 seconds with 17 queries