Качает трафик, трояны размножаются

[Макcим]

Выполните скрипт в AVZ

Код:

begin
 SysCleanAddFile('RGWIE.dll');
 ExecuteSysClean;
 RebootWindows(true);
end.

Удалите Ad-Aware.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Повторите лог virusinfo_syscheck.zip.

[V_Bond]

aawservice.sys - попробуйте найти при помощи авз - сервис - поиск файлов на диске ... если найдется пришлите по правилам ...

[Spartakus1000]

скрипт выполнил
проблемы пофиксил
AdAware был удален ранее

aawservice.sys через avz не находится
в реестре нашел: HCLM/System/Current Control Set/Enum/Root/Legacy_AAWESERVICE не удаляется

[V_Bond]

выполните скрипт ...

Код:

begin
 BC_DeleteSvc('aawservice');
 BC_Activate;
 RebootWindows(true);
end.

[Макcим]

После скрипта сделайте повторный лог.

[Spartakus1000]

службу убили

[Макcим]

Угу. Всё чисто. У меня личный вопрос к Вам. Вы не знаете от какой программы RGWIE.dll ?

[Spartakus1000]

не знаю...
в автозапуске какая-то хрень autocheck autochk *autocheck lsdeleteautocheck autocheck ?5?? ничего?

[Макcим]

Вы об этом?

Код:

autocheck autochk *�autocheck lsdelete�autocheck autocheck ?5??

[Spartakus1000]

да

[Макcим]

Это не страшно.

[Spartakus1000]

Ребята, еще раз привет!
У меня кажется рецидив...
В процессах опять появился iexplore.exe (IE не запущен).

[V_Bond]

выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll','');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[Spartakus1000]

скрипт выполнил
карантин отправил

[Макcим]

В логах всё нормально.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

[Spartakus1000]

В очередной раз прочесывал систему AVZ, выдало следующее:

Функция NtClose (19) перехвачена (805675D9->F8CC31E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtConnectPort (1F) перехвачена (80598C34->F8CC12F0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateKey (29) перехвачена (8056F063->F8CB4750), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateProcess (2F) перехвачена (805B3543->F8CC2F10), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateProcessEx (30) перехвачена (805885D3->F8CC3080), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateSection (32) перехвачена (80564B1B->F8CC3D00), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateSymbolicLinkObject (34) перехвачена (805A27B0->F8CC37B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateThread (35) перехвачена (8057F262->F8CC4600), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtDeleteKey (3F) перехвачена (8059D6BD->F8CB4860), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtDeleteValueKey (41) перехвачена (80597430->F8CB48E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtDuplicateObject (44) перехвачена (805743BE->F8CC3380), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtEnumerateKey (47) перехвачена (8056F76A->F8CB4990), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtEnumerateValueKey (49) перехвачена (805801FE->F8CB4A40), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtFlushKey (4F) перехвачена (80594925->F8CB4AF0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtInitializeRegistry (5C) перехвачена (805A5A4D->F8CB4B70), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadDriver (61) перехвачена (805A6B26->F8CC0E50), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadKey (62) перехвачена (805B0F28->F8CB5590), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadKey2 (63) перехвачена (805B0D76->F8CB4B90), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtNotifyChangeKey (6F) перехвачена (805829DD->F8CB4C70), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenFile (74) перехвачена (805715E7->FC2C9000), перехватчик C:\WINDOWS\system32\Drivers\kl1.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (805684D5->F8CB4D50), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenProcess (7A) перехвачена (8057459E->F8CC2D00), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenSection (7D) перехвачена (805766CC->F8CC3B20), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryKey (A0) перехвачена (8056F473->F8CB4E30), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryMultipleValueKey (A1) перехвачена (8064CF58->F8CB4EE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtQuerySystemInformation (AD) перехвачена (8057CC27->F8CC42B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryValueKey (B1) перехвачена (8056B9A8->F8CB4F90), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtReplaceKey (C1) перехвачена (8064D892->F8CB5070), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtRequestWaitReplyPort (C перехвачена (8057860F->F8CC1900), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtRestoreKey (CC) перехвачена (8064C3B0->F8CB5100), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtResumeThread (CE) перехвачена (8057F8D5->F8CC45B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSaveKey (CF) перехвачена (8064C457->F8CB5300), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetContextThread (D5) перехвачена (8062C85B->F8CC4940), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetInformationFile (E0) перехвачена (80579E7E->F8CC4F60), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetInformationKey (E2) перехвачена (8064CABB->F8CB5390), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetSecurityObject (ED) перехвачена (8059DB78->F8CBFA10), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetSystemInformation (F0) перехвачена (805A5110->F8CC39A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetValueKey (F7) перехвачена (80575527->F8CB5430), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSuspendThread (FE) перехвачена (805DC61B->F8CC4560), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSystemDebugControl (FF) перехвачена (8064872D->F8CC11B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtTerminateProcess (101) перехвачена (8058AE1E->F8CC4150), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtUnloadKey (107) перехвачена (8064C689->F8CB5550), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtWriteVirtualMemory (115) перехвачена (8057C123->F8CC3240), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция FsRtlCheckLockForReadAccess (804FDAF1) - модификация машинного кода. Метод JmpTo. jmp F8CC5380 \??\C:\WINDOWS\system32\drivers\klif.sys
Функция IoIsOperationSynchronous (804E8EBA) - модификация машинного кода. Метод JmpTo. jmp F8CC5880 \??\C:\WINDOWS\system32\drivers\klif.sys

Что это за перехватчик и не опасно ли это?

[V_Bond]

это перехваты от касперского ...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 23
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\all users\\документы\\settings\\abc32.dll - Trojan.Win32.Inject.sm (DrWEB: BackDoor.Bifrost.526)
  2. c:\\windows\\system32\\necsort.sys - Trojan-Banker.Win32.Banker.hkq (DrWEB: Trojan.PWS.Banker.9575)
  3. c:\\windows\\system32\\rgwie.dll - Trojan.Win32.BHO.gbm
  4. c:\\windows\\system32\\vhosts.exe - Trojan-Downloader.Win32.Small.hrm (DrWEB: BackDoor.Dax)