-
Junior Member
- Вес репутации
- 60
Исходящий траффик в два раза больше входящего
Здравствуйте!
у меня исходящий траффик примерно в два раза больше входящего. сканировал cureit'ом - нашёл кучу троянов. всё удалил. повторил сканирование - больше никаких вирусов нет, но траффик всё равно уходит. также производил сканирование avast'ом - тоже всё чисто.
буду признателем за любую оказанную помощь
Последний раз редактировалось Deniska1983; 08.04.2009 в 15:13.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Код:
Восстановление системы: включено
Отключить...
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Денис\desktop.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\win32.exe','');
QuarantineFile('C:\WINDOWS\system32\MSCORE.DLL','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Карантин пришлите по ссылке http://virusinfo.info/upload_virus.php?tid=16026
-
-
Junior Member
- Вес репутации
- 60
восстановление системы отключил.
скрипт выполнил.
файлы карантина закачал
-
MSCORE.DLL - Trojan.Win32.Small.yd
svchost.exe - Trojan.Win32.Patched.bh
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\MSCORE.DLL');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Вручную запакуйте файлы
C:\Documents and Settings\Денис\desktop.exe
C:\WINDOWS\System32\drivers\win32.exe
в архив с паролем virus и пришлите их тоже
Насчет svchost.exe... троян пропатчил системный файл - первый вариант восстановить его с дистрибутива, второй - скачать к примеру CureIt или AVPTool и пролечить ими файлик
-
-
Выполните еще такой скрипт:
Код:
begin
ClearQuarantine;
BC_QrSvc('NdisWon');
BC_DeleteSvc('NdisWon');
BC_Activate;
RebootWindows(true);
end.
Если карантин будет не пуст - пришлите по правилам.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Вручную запакуйте файлы
C:\Documents and Settings\Денис\desktop.exe
C:\WINDOWS\System32\drivers\win32.exe
в архив с паролем virus и пришлите их тоже
таких файлов у меня нет
Насчет svchost.exe... троян пропатчил системный файл - первый вариант восстановить его с дистрибутива, второй - скачать к примеру CureIt или AVPTool и пролечить ими файлик
проверил cureit'ом - ничего подозрительного не нашёл
после запуска второго скрипта, windows походу удалил все драйвера. всё стало очень сильно тормозить (было удалено подключение интернет, драйвер видео-карты выдавал какую-то ошибку, оформление windows было сбито). пришлось вставить диск с windows и выполнить восстановление системы с него. как только всё восстановил - исходящий траффик всё ещё в два раза больше входящего.
файлы из карантина я удалил сразу, но третий скрипт запустил. файлы, которые находятся в карантине - я отправил вам. также вот новые логи
Последний раз редактировалось Deniska1983; 08.04.2009 в 15:13.
-
пофиксите ...
Код:
O4 - HKCU\..\Run: [default] C:\Documents and Settings\Денис\desktop.exe
O4 - HKCU\..\Run: [main] C:\WINDOWS\System32\drivers\win32.exe
провертесь AVPTool
-
-
Пофиксите в HijackThis:
Код:
O4 - HKCU\..\Run: [main] C:\WINDOWS\System32\drivers\win32.exe
O4 - HKCU\..\Run: [default] C:\Documents and Settings\Денис\desktop.exe
Перезагрузитесь и повторите лог HijackThis.
Добавлено через 1 минуту
Судя по последним логам, svchost.exe в порядке... странно.
Добавлено через 2 минуты
Ах, да, правильно:
пришлось вставить диск с windows и выполнить восстановление системы с него.
Все ОК, больше ничего подозрительного в логах нет.
Последний раз редактировалось Bratez; 06.01.2008 в 16:12.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
пофиксил с помощью HijackThis
AVPTool ничего не нашёл
исходящий траффик по-прежнему в два раза больше чем входящий
вот лог
Последний раз редактировалось Deniska1983; 08.04.2009 в 15:13.
-
c:\program files\myie2 ru 0.8.350 megapack\myie.exe
закиньте на www.virustotal.com - чем черт не шутит...
А больше и не к чему придраться.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
закинул, так как вы рекомендовали; и вот какой результат выдал
eSafe 7.0.15.0 2008.01.03 suspicious Trojan/Worm
Sophos 4.24.0 2008.01.06 Mal/Emogen-P
остальные антивирусы - всё чисто
я использую MyIE в качестве интернет-браузера. вы думаете проблема в нём?
-
я использую MyIE в качестве интернет-браузера.
А его можно использовать как-то иначе?
вы думаете проблема в нём?
Все возможно. Уж если ntoskrnl и svchost патчат, то браузер сам бог велел. Попробуйте установить Opera и попользоваться ею - будет ли разница?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
поставил я Opera. всё стало норм. траффик норм. спасибо всем за помощь.
p.s. кстати, какой-то из троянов украл мой номер icq. очень обидно, т.к. этим номером пользовался лет пять. пароль был сохранён в программе qip
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\mscore.dll - Trojan.Win32.Small.yd (DrWEB: Trojan.DownLoader.43004)
- c:\\windows\\system32\\svchost.exe - Trojan.Win32.Patched.bh (DrWEB: Trojan.DownLoader.39301)
- \\2008-01-06\\bcqr00005.dta - Trojan.Win32.Small.yd (DrWEB: Trojan.DownLoader.43004)
- \\2008-01-06\\bcqr00006.dta - Trojan.Win32.Small.yd (DrWEB: Trojan.DownLoader.43004)
- \\2008-01-06\\bcqr00007.dta - Trojan.Win32.Patched.bh (DrWEB: Trojan.DownLoader.39301)
- \\2008-01-06\\bcqr00008.dta - Trojan.Win32.Patched.bh (DrWEB: Trojan.DownLoader.39301)
-