Показано с 1 по 7 из 7.

Выручайте! Трафик улетает! (заявка № 25722)

  1. #1
    Junior Member Репутация
    Регистрация
    18.06.2008
    Сообщений
    45
    Вес репутации
    36

    Question Выручайте! Трафик улетает!

    Доброго времени суток! И снова требуется ваша помощь. На одном из рабочих компив подозрительно быстро улетает трафик. Проверил CureIt-ом, нашел кучку гадостей типа Wigon.ck, spumbot3202? hllw.gavir, мулдропы и прочее. Вроде все удалил, что нашел, но трафик продолжает улетать.... Выручайте!!! Логи прилагаются.
    Последний раз редактировалось IndeeZ; 12.09.2009 в 14:27.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Скачайте IceSword.
    Запустите его, внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Winjm86.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

    Затем выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
     QuarantineFile('C:\Documents and Settings\POLIN\Local Settings\Temporary Internet Files\Content.IE5\M7OJ16BY\xloader[1].exe','');
     QuarantineFile('C:\DOCUME~1\POLIN\LOCALS~1\Temp\svc32_1.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winaj01.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wincx70.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winjm86.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
     DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winjm86.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winaj01.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincx70.sys');
     DeleteFile('C:\DOCUME~1\POLIN\LOCALS~1\Temp\svc32_1.exe');
     DeleteFile('C:\Documents and Settings\POLIN\Local Settings\Temporary Internet Files\Content.IE5\M7OJ16BY\xloader[1].exe');
     DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('Wincx70');
    BC_DeleteSvc('Winaj01');
    BC_DeleteSvc('Winjm86');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=25722 ).

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    18.06.2008
    Сообщений
    45
    Вес репутации
    36
    Winjm86.sys нашел, пересохранил, удалил, все как сказали, но при попытке карантина мне выдали сообщение:
    Ошибка карантина файла, попытка прямого чтения (Winjm86.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\Winjm86.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\Winjm86.sys)
    Карантин с использованием прямого чтения - ошибка
    при попытке переместить, переименовать файл он исчез.
    Может я чего то не так сделал? Как быть?
    Вобщем, на всякий случай отправил в карантин, все что было, карантан выслал. Логи сделал, отправляю.
    Последний раз редактировалось IndeeZ; 12.09.2009 в 14:27.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от IndeeZ Посмотреть сообщение
    Winjm86.sys нашел, пересохранил, удалил, все как сказали, но при попытке карантина мне выдали сообщение:
    Так вы же его прибили, вот он и не находится.

    Цитата Сообщение от IndeeZ Посмотреть сообщение
    при попытке переместить, переименовать файл он исчез.
    Антивирус слопал, наверное. Можете в его отчётах посмотреть, кого он там нашёл.

  6. #5
    Junior Member Репутация
    Регистрация
    18.06.2008
    Сообщений
    45
    Вес репутации
    36
    Найдите в нем файл C:\WINDOWS\system32\Drivers\Winjm86.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам...

    А это для чего было написано? Что я тогда должен был прислать и как?
    В любом случае вроде бы все нормально, подозрительной активности не обнаружено. Большое спасибо!!
    P.S.Есть еще вопрос, если не трудно, ответьте: Что за протоколы TCP 25 и UPD 53 Через них уходил трафик, тогда как обычное Инет соединение идет по ТСР 80.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    TCP 25 - исходящая почта. Спамбот работал.
    UDP 53 - DNS. Это неубиенно.

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\polin\\local settings\\temporary internet files\\content.ie5\\m7oj16by\\xloader[1].exe - Trojan-Downloader.Win32.Small.xws (DrWEB: Trojan.DownLoader.63792)
      2. c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Agent.dgu (DrWEB: Trojan.DownLoad.1131)
      3. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.avl (DrWEB: Trojan.Rntm.7)


  • Уважаемый(ая) IndeeZ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Выручайте
      От aska93 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 11.02.2012, 00:18
    2. выручайте!!!!
      От vasjamontana в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.02.2011, 13:28
    3. Выручайте!!!!
      От avantage в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 29.11.2009, 19:25
    4. Выручайте
      От иванников в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 29.09.2009, 17:38
    5. Выручайте!
      От vector в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.02.2009, 11:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01299 seconds with 16 queries