-
Junior Member
- Вес репутации
- 54
вирус блокирует входящий трафик и чтото скачивает
ПРошу помочь вылечить!
симптомы:
вирус активизируется при подключению к инету (wi-fi)
процесс System максимально грузит ЦП, блокирует входящий трафик,
и что-то сливает исходящим трафиком.
при отключении интернета мониторинг сети AVP показывает
что процесс system лихорадочно долбится на адреса
78.140.145.144 port 80
91.202.61.10 port 443
результат проверки базы AVZ4 на virusinfo
http://virusinfo.info/showpost.php?p...postcount=3950
Внимание, в архиве обнаружены опасные или вредоносные объекты:
C:\WINDOWS\system32\pqrs.tmo: Backdoor.Win32.Bredavi.apo
C:\WINDOWS\System32\DRIVERS\nups.sys: Backdoor.Win32.Small.zn
обновить AVP не могу, т.к. у меня стоит корпоративная версия, а я на удаленке без реального IP, а админ внесознанке
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
Venus Doom
я все прочел и все выполнил, что я упустил в правилах?
я не могу скачать 19Мб - я ж написал - вирус блокирует входящий трафик. пока он "раскачивается" я могу успеть максимум скачать 0.5-1 Мб.
а пишу я это выходя с удаленного сервера через mstsc.exe, предварительно заблокировав все порты TCP/IP
Добавлено через 1 минуту
я уже вторые сутки воюю голыми руками, прошу помощи реальной, а не нравоучений.
спасибо
Последний раз редактировалось malaxov.m; 01.11.2009 в 21:23.
Причина: Добавлено
-
Это и есть реальная помощь. AVZ весит 5-6 МВ. Скачайте на другом ПК и запишите на флешку или диск
-
-
Junior Member
- Вес репутации
- 54
так я уже скачал и все сделал и карантин отправил и ответ получил...
и все это описал детально...
вирус-то мне как изгнать !!!???
Добавлено через 6 минут
у меня нет другого ПК, флешки и диска, есть только wi-fi.
если возможно, подскажите как перекачать файлы с удаленного сервера подключеного через mstsc.exe
Последний раз редактировалось malaxov.m; 01.11.2009 в 21:35.
Причина: Добавлено
-
то, что Вы отправили карантин - это хорошо.
Нужно еще три файла выложить здесь. Это файлы virusinfo_syscheck.zip, virusinfo_syscure.zip и hijackthis.log
-
-
Junior Member
- Вес репутации
- 54
-
Junior Member
- Вес репутации
- 54
а карантин еще раз сюда закачивать или уже не надо?
-
1. Пофиксите в HJT:
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pqrs.tmo printer
2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ntfs_ext7.exe','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\nups.sys','');
QuarantineFile('C:\WINDOWS\system32\pqrs.tmo','');
DeleteService('Nups');
DeleteFile('C:\WINDOWS\system32\pqrs.tmo');
DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys');
DeleteFile('C:\WINDOWS\system32\ntfs_ext7.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip из папки AVZ пришлите, используя ссылку прислать запрошенный карантин вверху этой темы
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 54
пофиксил и скрипты выполнил.
1) новые логи присылать?
2) карантин закачивать - новый?
3) новые логи и карантин делать когда вирус активно работает или достаточно когда он спит? (могу сделать 2 версии, нужно?)
просто мне очень уж страшно что-либо делать когда он неизвестно что у меня скачивает
-
Да
2) карантин закачивать - новый?
Файл quarantine.zip из папки AVZ пришлите, используя ссылку прислать запрошенный карантин вверху этой темы
3) новые логи и карантин делать когда вирус активно работает или достаточно когда он спит? (могу сделать 2 версии, нужно?)
Делайте, когда Вас просят. От вируса мы избавимся
-
-
Junior Member
- Вес репутации
- 54
-
Junior Member
- Вес репутации
- 54
Результат загрузки
Файл сохранён как 091101_234342_Quarantine_4aedf2febd28b.zip
Размер файла 2063724
MD5 9b84f2edfa4d3d47bc48d044564f15ef
Файл закачан, спасибо!
-
В логах чисто. Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
да, спасибо!
проверил др.вебом в safemode - чисто.
при загрузке выскакивает сообщение "не найдена pqrs.tmo" - что с этим делать?
прошу совета: полезен ли Spybot-S&D вкупе с AVP ?
-
при загрузке выскакивает сообщение "не найдена pqrs.tmo" - что с этим делать?
Пофиксите в hijackthis:
Код:
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe pqrs.tmo printer
прошу совета: полезен ли Spybot-S&D вкупе с AVP ?
AVP сам в состоянии справиться со шпионскими программами
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 23
- В ходе лечения вредоносные программы в карантинах не обнаружены
-