Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 38.

Качает трафик, трояны размножаются (заявка № 16421)

  1. #1
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    17
    Вес репутации
    60

    Thumbs up Качает трафик, трояны размножаются

    Здравствуйте!
    Во время серфинга в интернете заметил резкое увеличение входящего трафика, проверил Касперским, нашлись трояны, почистил, перезагрузился.
    Касперский обнаруживает трояны.
    В процессах нашел iexplore.exe, хотя IE не загружен, процесс не удалялся никакими способами.
    Еще несколько попыток чистки Каспером и NOD32, также находится зараза, чистится, после перезагрузки вновь появляется.
    Нашел вас, скачал инструкцию http://virusinfo.info/showthread.php?t=12112
    После сканирования утилитой от Dr.Web процесс iexplore.exe из списка процессов исчез, трояны также заново возрождаются. Трояны разнообразные.
    Начал выполнять инструкцию, дошел до приложения 2, но не могу найти логи AVZ. Лог HiJackThis благополучно нашелся в папке с программой, в папке же AVZ есть только вложенная папка Base, логов там нет, хотя скрипты выполнились благополучно.

    Что я сделал неправильно (вроде все строго по инструкции).
    Последний раз редактировалось Shu_b; 14.01.2008 в 22:24.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    логи приблизительно там находятся ... c:\avz\LOG\

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    avz скорее всего не верно распаковали, надо архив avz4.zip правой кнопкой и выбрать extract в новую паку .

  5. #4
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    17
    Вес репутации
    60
    Цитата Сообщение от V_Bond Посмотреть сообщение
    логи приблизительно там находятся ... c:\avz\LOG\
    ок, проблема была в том, что папка avz у меня лежала на рабочем столе (я все, что скачиваю, кидаю на стол, потом просматриваю и рассортировываю по местам), скопировал ее в корень, оп-ля)) появилась папка LOG))
    однако
    выполняю поиск файлов, они находятся, жму скопировать в карантин, в карантине их нет...
    что за напасть((
    может вам их из проводника прислать?

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    перечитайте правила как и куда нужно распаковывать авз ... все расписано ...

  7. #6
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    17
    Вес репутации
    60
    как раз в правилах это не расписано... ну да ладно, сейчас у меня папка на корне С, логи создал, проблема в том, что они не копируются в карантин почему-то.
    хотя логи HiJackThis скопировались нормально.

    причем в протоколе пишет, что файл скопирован в карантин

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    зачем логи копировать в карантин .... ?

    Добавлено через 1 минуту

    virusinfo_syscure.zip virusinfo_syscheck.zip - эти файлы нужно прикрепить к теме ...
    Последний раз редактировалось V_Bond; 14.01.2008 в 23:45. Причина: Добавлено

  9. #8
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    17
    Вес репутации
    60
    да, действительно
    Вложения Вложения

  10. #9
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    17
    Вес репутации
    60
    Как правильно искать и присылать запрошенные файлы?

    --------------------------------------------------------------------------------

    1. Поиск всех запрашиваемых файлов нужно осуществлять из программы AVZ, а вовсе НЕ из проводника, файлового менеджера и т.п. Нужно запустить программу AVZ, зайти в меню "Сервис" и выбрать пункт "Поиск файла на диске".

    теперь до меня дошло, что это не относится к логам
    пардон за торомознутость, зарапортовался малость))

  11. #10
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Вас ещё не просили присылать запрашиваемые файлы - это могут быть какие-нибудь подозрительный файлы, которые Вас попросят прислать, а пока ничего не нужно больше присылать.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    1 у вас установлены нод вместе с касперским.... нужно оставить один ... ад-адваре удалить ....
    2 отключить оставшийся антивирус
    3 пофиксить
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O2 - BHO: IexploreOmea - {09628AAA-66AD-4FA2-82E2-698185B66463} - (no file)
    O20 - Winlogon Notify: bootrom8 - bootrom8.dll (file missing)
    O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
    4 выполнить скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    StopService('smtpdrv');
    StopService('necsort');
    StopService('Vch48');
    StopService('msupdate');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','' );
     QuarantineFile('c:\windows\system32\vhosts.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Vch48.sys','');
     QuarantineFile('C:\WINDOWS\system32\necsort.sys','');
     DeleteFile('C:\WINDOWS\system32\necsort.sys');
     DeleteFile('c:\windows\system32\vhosts.exe');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Vch48.sys');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_DeleteSvc('necsort');
    BC_DeleteSvc('smtpdrv');
    BC_DeleteSvc('Vch48');
    BC_DeleteSvc('msupdate');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    5 пришлите карантин согласно приложения 3 правил
    6 повторите логи

  13. #12
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    17
    Вес репутации
    60
    все сделал, карантин выслал
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
     QuarantineFile('C:\Program Files\Developing.ru\seobar\seobar.dll','');
     QuarantineFile('C:\WINDOWS\system32\adsn.dll','');
     QuarantineFile('C:\WINDOWS\system32\lrito6884-100f.sys','');
    BC_Importall;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил

  15. #14
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    17
    Вес репутации
    60
    скрипт выполнил
    карантин отправил
    Последний раз редактировалось Spartakus1000; 15.01.2008 в 08:57.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    ничего из перечисленного в скрипте нет на диске ....
    почистим мусор .....
    выпоните скрипт ...
    Код:
    begin
     StopService('lrito6884-100f');
     DeleteFile('C:\WINDOWS\system32\lrito6884-100f.sys');
     DeleteFile('C:\WINDOWS\system32\adsn.dll');
     DeleteFile('C:\Program Files\Developing.ru\seobar\seobar.dll');
     DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
     DelBHO('{9AE6E6A3-9EE9-43A0-9D54-CE70CDBB8FC6}');
     DelBHO('{FEF08F50-7AA9-44B2-81D2-E9DCF31061E0}');
     BC_DeleteSvc('lrito6884-100f'); 
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите лог virusinfo_syscheck.zip

  17. #16
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    17
    Вес репутации
    60
    скрипт выполнил
    Вложения Вложения

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\RGWIE.dll','');
    BC_ImportQuarantineList;
     BC_QrSvc('Gstg69');
     BC_DeleteSvc('Gstg69');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    17
    Вес репутации
    60
    выполнил, карантин отправил

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\WINDOWS\system32\RGWIE.dll -чистый ...
    повторите лог virusinfo_syscheck.zip

  21. #20
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    17
    Вес репутации
    60
    выполнил
    Вложения Вложения

  • Уважаемый(ая) Spartakus1000, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 8
      Последнее сообщение: 02.07.2010, 06:09
    2. cmd.exe и service.exe размножаются
      От Disabled в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 07:01
    3. Трояны. Исходящий трафик.Ntoskrnl.exe
      От deavortex в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 02:28
    4. Трояны жрут трафик.
      От yolka08 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.06.2008, 11:49
    5. Ответов: 30
      Последнее сообщение: 05.03.2008, 17:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01213 seconds with 20 queries