Трояны-downloaderы. Расход трафика

**NeedHelpD** · 28.06.2008, 01:05

Какой-то вирус или троян использует много трафика, нагружая процессор.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 28.06.2008, 01:54

Отключите восстановление системы!
Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: (no name) - {D6F180CB-E683-41a3-8CD2-C53DBAA0530D} - (no file)
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: MSWin-55050225.exe

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Daniyar\Templates\A.kotnorB.com','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winci04.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg40.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\bhM83.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Nsx27.sys','');
 QuarantineFile('C:\Temp\924t5eah.sys','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\WinNt64.dll','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\spoolw.dll','');
 QuarantineFile('C:\WINDOWS\system32\basegegiw32.dll','');
 DeleteFile('C:\WINDOWS\system32\basegegiw32.dll');
 DeleteFile('C:\WINDOWS\system32\spoolw.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\WinNt64.dll');
 DeleteFile('C:\Temp\924t5eah.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Nsx27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\bhM83.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbg40.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winci04.sys');
 DeleteFile('C:\Documents and Settings\Daniyar\Templates\A.kotnorB.com');
DeleteFile('C:\WINDOWS\Tasks\At1.job');
BC_ImportALL;
ExecuteSysClean;
 BC_DeleteSvc('bhM83');
 BC_DeleteSvc('Fkp51');
 BC_DeleteSvc('Nty40');
 BC_DeleteSvc('rhxxuool');
 BC_DeleteSvc('tcpsr');
 BC_DeleteSvc('Uaf84');
 BC_DeleteSvc('Vbg51');
 BC_DeleteSvc('Wdi27');
 BC_DeleteSvc('Winbg40');
 BC_DeleteSvc('Winci04');
 BC_DeleteSvc('Winek73');
 BC_DeleteSvc('Nsx27');
 BC_DeleteSvc('SENSlanmanworkstation');
 BC_DeleteSvc('Lpo_lipdkxmlprov');
 BC_DeleteSvc('Lpo_lipdk');
 BC_DeleteSvc('ImapiServiceHidServ');
 BC_DeleteSvc('Googleupnphost');
 BC_DeleteSvc('Google Online Services');
 BC_DeleteSvc('EventlogAudioSrv');
 BC_DeleteSvc('Dnscacheaspnet_state');
 BC_DeleteSvc('DcomLaunchaspnet_stateNtLmSsp');
 BC_DeleteSvc('aspnet_stateNtLmSsp');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=25474).
Сделайте новые логи.

**NeedHelpD** · 28.06.2008, 17:05

1. Когда можно будет заново включить восстановление системы?
2. Как обезопасить себя от дальнейшего вторжения ЭТИХ (что обнаружил AVZ) вирусов?

**NeedHelpD** · 28.06.2008, 18:00

Новые логи.

**kps** · 28.06.2008, 18:24

Восстановление системы можно будет включить только после завершения лечения, а оно еще в самом разгаре.

Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Nsx27.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

Потом выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Downloaded Program Files\rmxfvw4.dll','');
 QuarantineFile('C:\WINDOWS\DOWNLO~1\vccfe.ocx','');
 QuarantineFile('C:\WINDOWS\DOWNLO~1\hmvcfe.ocx','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winta73.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winrx38.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Windj16.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winbh16.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ATE_PROCMON.sys','');
 QuarantineFile('ATE_PROCMON.sys','');
 QuarantineFile('srv.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Nsx27.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\Nsx27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbh16.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windj16.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winrx38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winta73.sys');
 DeleteFile('C:\WINDOWS\System32\WinCtrl32.dll');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Nsx27');
BC_DeleteSvc('NetDDEdsdmThemes');
BC_DeleteSvc('ImapiServiceHidServShellHWDetection');
BC_DeleteSvc('EventlogAudioSrvDhcp');
BC_DeleteSvc('DhcpAudioSrv');
BC_DeleteSvc('Winta73');
BC_DeleteSvc('Winrx38');
BC_DeleteSvc('Windj16');
BC_DeleteSvc('Winbh16');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=25474 ).

Очистите временные папки и кеш браузера.
Сделайте новые логи.

**NeedHelpD** · 29.06.2008, 12:13

Новые логи

**Bratez** · 29.06.2008, 13:02

Вам же дали ссылку, куда загружать архив с вашим трояном. Кстати, архив должен быть с паролем virus. Уберите его из сообщения!

В логах все нормально, только осталось немножко мусора.

Пофиксите в HijackThis:

Код:

O9 - Extra button: (no name) - DctMapping - (no file)

Выполните скрипт в AVZ:

Код:

begin
BC_DeleteSvc('tcpsr');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.

**NeedHelpD** · 29.06.2008, 13:47

Удалить архив никак не получается - сообщение типа "Не имеете доступ к данной странице".

Новые логи

**Bratez** · 29.06.2008, 13:56

Сообщение от NeedHelpD

Удалить архив никак не получается

Попробуйте через "мой кабинет" - "Вложения"

В логах порядок.

**NeedHelpD** · 29.06.2008, 14:38

Спасибо большое за помощь! Очень долго уже пытаюсь избавиться от этого трояна. Кстати, есть смысл одновременно использовать drweb и outpost?

Лишний архив удалил.

**Rene-gad** · 29.06.2008, 15:11

Сообщение от NeedHelpD

Кстати, есть смысл одновременно использовать drweb и outpost?

Почему нет? Если они у Вас уживаются друг с другом и систему не груэят, то битте-плиз

**CyberHelper** · 22.02.2009, 06:12

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 55
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\basegegiw32.dll - Trojan.Win32.SubSys.dj
2. c:\\windows\\system32\\drivers\\bhm83.sys - Trojan-Downloader.Win32.Mutant.aim
3. c:\\windows\\system32\\drivers\\winbg40.sys - Trojan-Downloader.Win32.Mutant.aim
4. c:\\windows\\system32\\spoolw.dll - Trojan-Mailfinder.Win32.Agent.lz (DrWEB: Trojan.EmailSpy.124)
5. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ail (DrWEB: Trojan.DownLoader.63553)

Трояны-downloaderы. Расход трафика (заявка № 25474)

Опции темы

Трояны-downloaderы. Расход трафика

Итог лечения

Похожие темы

Расход трафика

Непонятный расход трафика

Большой расход трафика

Необоснованный расход трафика

Ваши права в разделе