Показано с 1 по 13 из 13.

Вирус тянет трафик, AVZ и Hijack виснут (заявка № 23814)

  1. #1
    Junior Member Репутация
    Регистрация
    31.05.2008
    Сообщений
    14
    Вес репутации
    58

    Thumbs up Вирус тянет трафик, AVZ и Hijack виснут

    Здравствуйте. Помогите, пожалуйста, со следующей проблемой.
    При подключении к интернету где-то через минуту начинает очень активно идти непонятный трафик. По адресу C:\WINDOWS\Temp постоянно появляется файл startdrv.exe, который NOD определяет как Rootkit.Agent.EY и удаляет, но после нового включения либо перезагрузки он снова появляется. Также в папке C:\WINDOWS при запуске создается некая папка Prefetch, в которой собираются данные о запусках программ в компьютере.
    В папке C:\WINDOWS\system32 обнаружил файл glock32.exe, дата создания которого примерн совпадает с началом проблем с трафиком.
    А теперь самое главное. AVZ и Hijack при попытке выполнить любую проверку наглухо виснут.
    С Правилами ознакомился и все действия выполнял строго по ним.
    Чем могут быть вызваны эти зависания? Заранее благодарен.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    pingpong.pif - переименованный AVZ http://rapidshare.com/files/116949749/pingpong.pif.html
    Попробуйте сделать логи им - хотя бы лог по пункту 10 правил.
    Если не получится - то попробуйте в безопасном режиме.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    31.05.2008
    Сообщений
    14
    Вес репутации
    58
    AVZ и Hijack запустились только в безопасном режиме. Логи прикрепляю.
    В папке C:\WINDOWS\system32 появился файл WinNT32.dll, определяемы Касперским как Trojan.Downloader.Win32.Mutant.aao. Вылечить либо удалить его Касперский не в состоянии.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Да, та еще "коллекция".

    Скачайте IceSword.
    Запустите его, внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Yej84.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

    Затем выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('xqexmp.dll','');
     QuarantineFile('pecrxg.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Oty51.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Lqv40.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\pxark.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Yej84.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Yej84.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Lqv40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Oty51.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
    DelWinlogonNotifyByKeyName('WinNt32');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('tcpsr');
    BC_DeleteSvc('Oty51');
    BC_DeleteSvc('Lqv40');
    BC_DeleteSvc('Yej84');
    BC_DeleteSvc('runtime2');
    BC_Activate;
    ExecuteRepair(1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил и скопированный Вами файл (загружать здесь: http://virusinfo.info/upload_virus.php?tid=23814 ).

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    Junior Member Репутация
    Регистрация
    31.05.2008
    Сообщений
    14
    Вес репутации
    58
    Большое спасибо!
    Файлы pecrxg.dll, tcpsr.sys и Yej84.sys были обнаружены и удалены Касперским несколько ранее, поэтому Yej84.sys прислать уже не могу
    Скрипт выполнил, кэш и темп очистил. AVZ и Hijack теперь работают без проблем
    Логи и карантин прилагаю.

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Рано радуетесь

    Отключите антивирус и интернет!

    Скачать,,меню,File,появится аналог проводника,найти:Bhm40.sys,правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

    Пофиксить

    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O20 - AppInit_DLLs:  
    O20 - Winlogon Notify: pecrxg - pecrxg.dll (file missing)
    O20 - Winlogon Notify: xqexmp - xqexmp.dll (file missing)
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Bhm40');
     DeleteFile('C:\WINDOWS\System32\Drivers\Bhm40.sys');
     DeleteFile('pecrxg.dll');
     DeleteFile('xqexmp.dll');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи.

  8. #7
    Junior Member Репутация
    Регистрация
    31.05.2008
    Сообщений
    14
    Вес репутации
    58
    Все выполнил. Правда WinNT32.dll опять вылез..

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Отключите восстановление системы!в логах его не видать скорее всего файл называется так WinNt32.dl_?в любом случае сделайте ему в IceSword Force Delete и перезагрузитесь,результат сообщите.

  10. #9
    Junior Member Репутация
    Регистрация
    31.05.2008
    Сообщений
    14
    Вес репутации
    58
    Сильно извиняюсь, вчера выполнял уже ночью и действительно забыл отключить восстановление системы
    Нашел и удалил WinNT32.dl_, но в system32 лежит файл WinNT32.dll, имеющий тот же размер и определяемый Касперским как Trojan.Downloader.Win32.Mutant.aao.
    Еще раз сделал логи с отключенным восстановлением, посмотрите, пожалуйста.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Удалите и WinNT32.dll, он не активен, в логах чисто.
    После перезагрузки проверьте, не появится ли WinNT32.dll, если не появился - то все ок.
    Последний раз редактировалось kps; 02.06.2008 в 14:01.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  12. #11
    Junior Member Репутация
    Регистрация
    31.05.2008
    Сообщений
    14
    Вес репутации
    58
    Похоже все ОК
    Kps и Гриша, спасибо вам огромное!

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Hedgehog, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 10.04.2012, 00:37
    2. Ответов: 5
      Последнее сообщение: 04.12.2010, 18:01
    3. Вирус. Mbam находит TCPRoute.Hijack
      От Alex123321 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 21.10.2010, 16:01
    4. Тянет в инет..
      От Eugene_G в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 03:32
    5. Что-то тянет систему
      От anatoli в разделе Помогите!
      Ответов: 27
      Последнее сообщение: 05.12.2007, 00:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00365 seconds with 20 queries