-
Junior Member
- Вес репутации
- 60
Неуемная активность в сети
Здравствуйте,
после запуска Windows компьютер начинает лезть в сеть. При чем по виду мониторчиков в трее (желтая точка, бегающая от одно моника к другому) видно, что он сначала скачивает настройки (возможно по DHCP, явный признак - смена адресов dns в настройках подключения, остальные - как было). После этого начинается просто неуемный UDP трафик на самые разные IP (это показал wireshark). Что, естественно, в итоге приводит к замедлению работы сети.
Из того, что было проделано: отключены некоторые службы через msconfig, а именно: telnet, что-то по netmeeting, dhcp-клиент, остальное не запомнил.
Проверялся по Вашим правилам AVZ и Hijackthis, логи прилагаю.
Последний раз редактировалось Elephant; 28.11.2008 в 08:41.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
как давно обновлялся антивирус ... ?
віполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll','');
QuarantineFile('C:\WINDOWS\system32\yatool.dll','');
QuarantineFile('C:\WINDOWS\system32\winload.dll','');
QuarantineFile('kdlpa.exe','');
QuarantineFile('dsrss.exe','');
QuarantineFile('c:\windows\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\smss.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\runtime2.sys','');
StopService('runtime2');
SetServiceStart('runtime2', 4);
QuarantineFile('C:\WINDOWS\system32\burito7c3-d6a.sys','');
QuarantineFile('c:\windows\system32\vhosts.exe','');
SetServiceStart('msupdate', 4);
StopService('msupdate');
DeleteFile('c:\windows\system32\vhosts.exe');
DeleteFile('C:\WINDOWS\System32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
DeleteFile('C:\WINDOWS\smss.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('dsrss.exe');
DeleteFile('kdlpa.exe');
DeleteFile('C:\WINDOWS\system32\yatool.dll');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('msupdate');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 60
AVZ скачал непосредственно перед тем, как написал сообщение. Проверялся DrWeb, но его базы были 2-х месячной давности.
Вечерком проделаю указанные манипуляции и вышлю логи.
-
Junior Member
- Вес репутации
- 60
Вот новые логи и карантин.
Последний раз редактировалось Elephant; 28.11.2008 в 08:41.
-
C:\WINDOWS\system32\burito7c3-d6a.sys -Email-Worm.Win32.Zhelatin.sd
C:\WINDOWS\system32\ntos.exe Trojan-Spy.Win32.Zbot.afz
c:\windows\system32\userinit.exe Trojan.Win32.Agent.emg
c:\windows\system32\vhosts.exe Trojan-Downloader.Win32.Agent.idx
C:\WINDOWS\system32\mssrv32.exe HEUR/Crypted
C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll Adware Generic.VRD
Добавлено через 10 минут
userinit.exe - нужно заменить на чистый из дистрибутива ....
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('burito7c3-d6a');
SetServiceStart('burito7c3-d6a', 4);
DeleteService('burito7c3-d6a');
DeleteFile('C:\WINDOWS\system32\burito7c3-d6a.sys');
DeleteFile('C:\WINDOWS\system32\winload.dll');
DeleteFile('C:\WINDOWS\system32\yatool.dll');
DeleteFile('C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll');
DelBHO('{C08DF07A-3E49-4E25-9AB0-D3882835F153}');
DelBHO('{54C7D1DD-4296-451e-B756-1E94F665B4FF}');
DelBHO('{3C49DDAC-3DA4-4743-AF6C-5974FEAF875C}');
BC_DeleteSvc('burito7c3-d6a');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
Последний раз редактировалось V_Bond; 12.02.2008 в 00:33.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 60
Все сделал. Новые логи тут. Свежий userinit.exe взял с чистой машины. Кстати на зараженной оказалось 2 файла: userini.exe и userinit.exe. Вирус сделал back-up? На эту мысль наводят размер и дата создания файла userini.exe - размер совпадает с оным чистого файла, а дата выглядит адекватно.
Последний раз редактировалось Elephant; 28.11.2008 в 08:41.
-
пофиксите ...
Код:
O20 - Winlogon Notify: IntelWireless - C:\WINDOWS\
выполните скрипт ....
Код:
begin
DelBHO('{C08DF07A-3E49-4E25-9AB0-D3882835F153}');
DelBHO('{54C7D1DD-4296-451e-B756-1E94F665B4FF}');
DelBHO('{3C49DDAC-3DA4-4743-AF6C-5974FEAF875C}');
DeleteFile('C:\WINDOWS\system32\winload.dll');
DeleteFile('C:\WINDOWS\system32\yatool.dll');
DeleteFile('C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи начиная с пункта 10 правил ...
-
-
Junior Member
- Вес репутации
- 60
На мой взгляд осталось только добить руткита. Остальное похоже сгинуло
Последний раз редактировалось Elephant; 28.11.2008 в 08:41.
-
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{C08DF07A-3E49-4E25-9AB0-D3882835F153}');
DelBHO('{54C7D1DD-4296-451e-B756-1E94F665B4FF}');
DelBHO('{3C49DDAC-3DA4-4743-AF6C-5974FEAF875C}');
DeleteFile('C:\WINDOWS\system32\winload.dll');
DeleteFile('C:\WINDOWS\system32\yatool.dll');
DeleteFile('C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите virusinfo_syscheck
-
-
Junior Member
- Вес репутации
- 60
-
ничего страшного .... есть пару адваре которые упрямо не хотят удалятся .... видимо потому что скрипты вы выполняте с влюченным антивирусом ...
попробуйте выполнить последний скриптв safe mode ...
-
-
Junior Member
- Вес репутации
- 60
Запустил скрипт в safe mode. Похоже ничего не получилось. Все тот же sptd перехватывает несколько API обращений к реестру и файлам. Кстати, а что это за файл такой sptd?
Последний раз редактировалось Elephant; 28.11.2008 в 08:41.
-
sptd от демона ... так что это не страшно ... вы же сами его ставили
winload.dll , yatool.dll , IEHelp.dll - попробйте поискать через авз ...
-