Показано с 1 по 12 из 12.

Трояны-downloaderы. Расход трафика (заявка № 25474)

  1. #1
    Junior Member Репутация
    Регистрация
    28.06.2008
    Сообщений
    23
    Вес репутации
    35

    Exclamation Трояны-downloaderы. Расход трафика

    Какой-то вирус или троян использует много трафика, нагружая процессор.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Отключите восстановление системы!
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
    O3 - Toolbar: (no name) - {D6F180CB-E683-41a3-8CD2-C53DBAA0530D} - (no file)
    O4 - Startup: PowerReg Scheduler.exe
    O4 - Startup: MSWin-55050225.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Daniyar\Templates\A.kotnorB.com','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winci04.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg40.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\bhM83.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Nsx27.sys','');
     QuarantineFile('C:\Temp\924t5eah.sys','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\WinNt64.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\spoolw.dll','');
     QuarantineFile('C:\WINDOWS\system32\basegegiw32.dll','');
     DeleteFile('C:\WINDOWS\system32\basegegiw32.dll');
     DeleteFile('C:\WINDOWS\system32\spoolw.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\WinNt64.dll');
     DeleteFile('C:\Temp\924t5eah.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Nsx27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\bhM83.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbg40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winci04.sys');
     DeleteFile('C:\Documents and Settings\Daniyar\Templates\A.kotnorB.com');
    DeleteFile('C:\WINDOWS\Tasks\At1.job');
    BC_ImportALL;
    ExecuteSysClean;
     BC_DeleteSvc('bhM83');
     BC_DeleteSvc('Fkp51');
     BC_DeleteSvc('Nty40');
     BC_DeleteSvc('rhxxuool');
     BC_DeleteSvc('tcpsr');
     BC_DeleteSvc('Uaf84');
     BC_DeleteSvc('Vbg51');
     BC_DeleteSvc('Wdi27');
     BC_DeleteSvc('Winbg40');
     BC_DeleteSvc('Winci04');
     BC_DeleteSvc('Winek73');
     BC_DeleteSvc('Nsx27');
     BC_DeleteSvc('SENSlanmanworkstation');
     BC_DeleteSvc('Lpo_lipdkxmlprov');
     BC_DeleteSvc('Lpo_lipdk');
     BC_DeleteSvc('ImapiServiceHidServ');
     BC_DeleteSvc('Googleupnphost');
     BC_DeleteSvc('Google Online Services');
     BC_DeleteSvc('EventlogAudioSrv');
     BC_DeleteSvc('Dnscacheaspnet_state');
     BC_DeleteSvc('DcomLaunchaspnet_stateNtLmSsp');
     BC_DeleteSvc('aspnet_stateNtLmSsp');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=25474).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    28.06.2008
    Сообщений
    23
    Вес репутации
    35
    1. Когда можно будет заново включить восстановление системы?
    2. Как обезопасить себя от дальнейшего вторжения ЭТИХ (что обнаружил AVZ) вирусов?
    Последний раз редактировалось NeedHelpD; 28.06.2008 в 16:54.

  5. #4
    Junior Member Репутация
    Регистрация
    28.06.2008
    Сообщений
    23
    Вес репутации
    35
    Новые логи.
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Восстановление системы можно будет включить только после завершения лечения, а оно еще в самом разгаре.

    Скачайте IceSword.
    Запустите его, внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Nsx27.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

    Потом выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\rmxfvw4.dll','');
     QuarantineFile('C:\WINDOWS\DOWNLO~1\vccfe.ocx','');
     QuarantineFile('C:\WINDOWS\DOWNLO~1\hmvcfe.ocx','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winta73.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winrx38.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Windj16.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winbh16.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ATE_PROCMON.sys','');
     QuarantineFile('ATE_PROCMON.sys','');
     QuarantineFile('srv.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Nsx27.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\Nsx27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbh16.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windj16.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrx38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winta73.sys');
     DeleteFile('C:\WINDOWS\System32\WinCtrl32.dll');
    DelWinlogonNotifyByKeyName('WinCtrl32');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('Nsx27');
    BC_DeleteSvc('NetDDEdsdmThemes');
    BC_DeleteSvc('ImapiServiceHidServShellHWDetection');
    BC_DeleteSvc('EventlogAudioSrvDhcp');
    BC_DeleteSvc('DhcpAudioSrv');
    BC_DeleteSvc('Winta73');
    BC_DeleteSvc('Winrx38');
    BC_DeleteSvc('Windj16');
    BC_DeleteSvc('Winbh16');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=25474 ).

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  7. #6
    Junior Member Репутация
    Регистрация
    28.06.2008
    Сообщений
    23
    Вес репутации
    35
    Новые логи
    Вложения Вложения
    Последний раз редактировалось NeedHelpD; 29.06.2008 в 13:36.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Вам же дали ссылку, куда загружать архив с вашим трояном. Кстати, архив должен быть с паролем virus. Уберите его из сообщения!

    В логах все нормально, только осталось немножко мусора.

    Пофиксите в HijackThis:
    Код:
    O9 - Extra button: (no name) - DctMapping - (no file)
    Выполните скрипт в AVZ:
    Код:
    begin
    BC_DeleteSvc('tcpsr');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    28.06.2008
    Сообщений
    23
    Вес репутации
    35
    Удалить архив никак не получается - сообщение типа "Не имеете доступ к данной странице".

    Новые логи
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от NeedHelpD Посмотреть сообщение
    Удалить архив никак не получается
    Попробуйте через "мой кабинет" - "Вложения"

    В логах порядок.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    28.06.2008
    Сообщений
    23
    Вес репутации
    35
    Спасибо большое за помощь! Очень долго уже пытаюсь избавиться от этого трояна. Кстати, есть смысл одновременно использовать drweb и outpost?

    Лишний архив удалил.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от NeedHelpD Посмотреть сообщение
    Кстати, есть смысл одновременно использовать drweb и outpost?
    Почему нет? Если они у Вас уживаются друг с другом и систему не груэят, то битте-плиз

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 55
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\basegegiw32.dll - Trojan.Win32.SubSys.dj
      2. c:\\windows\\system32\\drivers\\bhm83.sys - Trojan-Downloader.Win32.Mutant.aim
      3. c:\\windows\\system32\\drivers\\winbg40.sys - Trojan-Downloader.Win32.Mutant.aim
      4. c:\\windows\\system32\\spoolw.dll - Trojan-Mailfinder.Win32.Agent.lz (DrWEB: Trojan.EmailSpy.124)
      5. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ail (DrWEB: Trojan.DownLoader.63553)


  • Уважаемый(ая) NeedHelpD, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Расход трафика
      От Y 100 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 07.06.2010, 10:14
    2. Непонятный расход трафика
      От master lyan в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.04.2009, 16:24
    3. Большой расход трафика
      От Rio в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 05:25
    4. Необоснованный расход трафика
      От M_a_r_a в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.07.2008, 16:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01425 seconds with 17 queries