Показано с 1 по 17 из 17.

Извиняюсь, но у меня тоже Непонятный трафик (заявка № 18940)

  1. #1
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    37

    Thumbs up Извиняюсь, но у меня тоже Непонятный трафик

    19/02/2008 робот моего провайдера меня отключил за вирус.
    В это время за компом сидела младшая сестра. Работал Agnitum Outpost Firewall Pro ver. 3.51.748.6419.
    После продолжительных разбирательств и проверок KAV 6.0.2.614 с последними базами выяснилось, что при подключении к сети через пару минут начинает быстро уходить трафик, в обе стороны, но от меня раза в 2-3 больше. Проверки Касперским с базами от 24.02.2008 ничего не дала. Поставил NOD32 Ver. 2.50.16 с базами ver. 2909 также ничего не дала. Firewall трафик не видит. RootkitRevealer говорит про файлы C:\WINDOWS\system32\drivers\Loq51.sys и C:\WINDOWS\system32\drivers\symavc32.sys от 19.02.2008 соответственно.
    Проводник и ТоталКоммандир эти файлы не видят. Посмотрел в Инете это вроде Rootkit.Win32.Agent. Но я думаю здесь еще что-то.
    Большинство закрытых служб, закрыты после инфицирования.
    OC Windows XP SP2
    Логи прилагаются, также отчет RootkitRevealer.
    Большая просьба уточнить, что удаляем и закрываем в скрипте. А то удалим что-нибудь нужное.
    Заранее благодарен.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\System32\Drivers\Loq51.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Loq51.sys');
     BC_ImportAll;
     BC_DeleteSvc('Loq51');
     BC_Activate;
     ExecuteSysClean;
     ExecuteRepair(6);
     ExecuteRepair(8);
     ExecuteRepair(17);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18940

    2.Повторить лог virusinfo_syscheck

  4. #3
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    37

    Карантин выслал

    Карантин вроде выслал. Лог прилогаю. В карантине файлы *Games* наверное после установки Lingvo остались, давно, наверное, вроде не мешали. Еще с сегодняшнего утра комп стал при загрузке, когда KAV включаетяс немного подтормаживать.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Rootkit.Win32.Agent.px C:\WINDOWS\System32\Drivers\Loq51.sys

    Сейчас гляну логи

    Добавлено через 55 секунд

    Проблемы остались?
    Последний раз редактировалось rubin; 01.03.2008 в 19:25. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    37
    А в логах RootkitRevealer, что за symavc32.sys тоже от 19.02.2008

    Добавлено через 1 минуту

    Сейчас попробую в Инет выйти, отпишу.
    Последний раз редактировалось Adrian; 01.03.2008 в 19:27. Причина: Добавлено

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    В логах symavc32 видно не было... поищите через AVZ: Сервис - Поиск файлов на диске

  8. #7
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    37

    Нашел

    С Инетом на первый взгляд все в норме, трафик пропал. symavc32.sys AVZ в поиске нашел там где и RootkitRevealer (адрес в начале темы), если надо то файл из карантина могу сейчас выслать.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи ...

  10. #9
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    37
    Ок. Щас сделаем, я его после поиска в карантин AVZ поместил . А что в нем сидит?

    Добавлено через 54 минуты

    Выполнил 2-ой скрипт. Symavc32.sys AVZ уже не нашел.
    RootkitRevealer показывает только какие-то строки в реестре от 19.02.2008 Что с ними делать? Новые логи кидаю.
    Последний раз редактировалось Adrian; 01.03.2008 в 21:02. Причина: Добавлено

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    В symavc32? Руткит

  12. #11
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    37

    Повтор логов

    Логи не закачались, повтор.
    Если надо, закину symavc32.sys из карантина?
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    в логах ничего подозрительного ...

  14. #13
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    37
    В реестре строчки от 19 февр. можно оставлять?

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Если не разбираетесь в реестре, лучше его не трогайте... лишнего зацепите

  16. #15
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    37
    Хорошо.
    Всем большое спасибо за помощь!

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\loq51.sys - Rootkit.Win32.Agent.px (DrWEB: Trojan.Sentinel)


  • Уважаемый(ая) Adrian, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. у меня тоже жёлтый баннер
      От Eva65 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.04.2010, 11:58
    2. у меня тоже aekgoprn.dll !!!!!
      От jsava в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.12.2009, 00:19
    3. ПО File Downloader (и у меня тоже)
      От bunimovich в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.12.2009, 17:50
    4. и у меня тоже Get Accelerator
      От ilson1 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 24.10.2009, 15:44
    5. У меня тоже WinAvXX
      От nester в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 02:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00297 seconds with 17 queries