Показано с 1 по 16 из 16.

Как только захожу в инет, комп начинает лить. (заявка № 6970)

  1. #1
    Junior Member Репутация
    Регистрация
    01.12.2006
    Сообщений
    8
    Вес репутации
    44

    Thumbs up Как только захожу в инет, комп начинает лить.

    Здравствуйте.

    Сабж, собственно. Сразу при заходе в инет комп начинает ломиться на yahoo.com, google.com, gmail.com, microsoft.com, icq.com и еще много куда. Аську пытался стянуть. Траффик создает нереальный (несколько Мб/мин). Все перерыл. Незнаю в чем проблема. DrWeb, KAV, Avast - молчат как рыбы об лед.

    Выручайте!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3390
    Цитата Сообщение от Sot
    Здравствуйте.

    Сабж, собственно. Сразу при заходе в инет комп начинает ломиться на yahoo.com, google.com, gmail.com, microsoft.com, icq.com и еще много куда. Аську пытался стянуть. Траффик создает нереальный (несколько Мб/мин). Все перерыл. Незнаю в чем проблема. DrWeb, KAV, Avast - молчат как рыбы об лед.

    Выручайте!
    У вас на компьютере опасный бот с руткитом. Рецепт:
    1. Выполните инструкцию http://www.z-oleg.com/secur/virlist/vir1179.php
    2. Пришлите согласно правилам C:\Program Files\MP3 Player Utilities 3.06\RDiskUpdate\DelDrv.exe для изучения
    3. Повторите логи для контроля

  4. #3
    Junior Member Репутация
    Регистрация
    01.12.2006
    Сообщений
    8
    Вес репутации
    44
    Продолжаю биться. Кое что понаходил, но не помогает. Выполнял инструкчию - у меня такого файла нет, и вообще у меня на системном диске FAT32.
    Файл, что вы просили - это удолялка драйверов для Mp3 плэера. Ей сто лет уже.

    PS. Очень жду помощи. Траффик платный. Только за вчерашние эксперименты 150 Мб ушло.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    551
    Попробуйте выполнить (AVZ=>Файл=>Выполнить скрипт) такой скрипт -

    Код:
    begin
    SearchRootkit(True, True); 
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\lzx32.sys','');
    DeleteFile('C:\WINDOWS\system32\lzx32.sys');
    ExecuteSysClean;
    RebootWindows(True);
    end.
    После перезагрузитесь и повторите ещё раз логи.

  6. #5
    Junior Member Репутация
    Регистрация
    01.12.2006
    Сообщений
    8
    Вес репутации
    44
    Присылаю.

    PS. В карантине ничего нового не появилось.
    PSS. Я далеко не чайник.
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3390
    Цитата Сообщение от Sot
    Присылаю.

    PS. В карантине ничего нового не появилось.
    PSS. Я далеко не чайник.
    Судя по логам инструкция по указанной ссылке выполнена не была. Тогда дублирую ее по шагам:
    1. Перезагрузиться
    2. Запустить AVZ, не отмечая диски пролечить ПК с включенным противодействияем руткитам (в логе появится отметка о нейтрализации перехвата SYSENTER и о обнаружении маскировки lzx32.sys)
    3. Включить AVZ Guard
    4. Сервис/Поиск данныx в реестре. Образец поиска - lzx32.sys. Найденные ключи следует удалить.
    5. Файл/отложенное удаление. Удалить файл C:\WINDOWS\system32\lzx32.sys (этот файл не виден на диске, поэтому нужно просто скоипровать отсюда или из лога его полное имя в поле "Файл" диалога отложенного удаления).
    6. Перезагрузиться, не отключая AVZ Guard
    7. Повторить логи. Если все сделано верно, то перехват SYSENTER пропадет и посторонний трафик исчезнет

    Перечисленное можно сделать при помощи скрипта AVZ (правда поиск в реестре по образцу lzx32.sys лучше):

    Код:
    begin
    SearchRootkit(True, True); 
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\lzx32.sys');
    ExecuteSysClean;
    RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PE386'); 
    RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PE386'); 
    RebootWindows(True);
    end.
    Последний раз редактировалось Зайцев Олег; 02.12.2006 в 12:10.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    551
    По идее если спайдеру поменять настройки с оптимальных на "Запуск и открытие" + "Создание и запись" он его и без посторонней помощи придушит во время загрузки винды..

  9. #8
    Junior Member Репутация
    Регистрация
    01.12.2006
    Сообщений
    8
    Вес репутации
    44
    Сделал все, как вы сказали. Спайдер молчал как партизан Только после удаления ключей реестра траффик прекратился и исчез перехват SYSENTER. Но файл lzx32.sys так и не был обнаружен. Делал отложенное удаление с помещением в карантин, но в карантине ПУСТО! Повторюсь, у меня на лиске C: файловая система FAT32. Вы не считаете это подозрительным?
    Последний раз редактировалось Sot; 02.12.2006 в 16:47.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1295
    Новая разновидность с другим именем, что ли? Жалко, что удалённые ключи не экспортировали для изучения.

  11. #10
    Junior Member Репутация
    Регистрация
    01.12.2006
    Сообщений
    8
    Вес репутации
    44
    А сигнатуру какую нибудь с этого файла пришлите, я по диску поищу.

  12. #11
    Junior Member Репутация
    Регистрация
    01.12.2006
    Сообщений
    8
    Вес репутации
    44
    А подцепил я его повидимому сдесь: http://socamicohapitama.fromru.com/p...creare-dvd.htm

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3390
    Цитата Сообщение от Sot
    А сигнатуру какую нибудь с этого файла пришлите, я по диску поищу.
    Стабильных сигнатур у этой штуки нет - известны десятки модификаций. Но все характерны установкой драйвера, который маскирует ключи в реестре и файлы на диске (файлы маскируются при помощи фильтра файловой системы).

  14. #13
    Junior Member Репутация
    Регистрация
    01.12.2006
    Сообщений
    8
    Вес репутации
    44
    Спасибо вам огромное! Вроде все победил. Все найденные образцы отправил на drweb.ru. Могу и вам выслать.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1295
    Объём большой? Если да, то пришлите выборку самых характерных.

  16. #15
    Junior Member Репутация
    Регистрация
    01.12.2006
    Сообщений
    8
    Вес репутации
    44
    Нет, все вместе в архиве 180Кб. Куда прислать? В форум я думаю не стоит.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1642
    Цитата Сообщение от Sot
    Нет, все вместе в архиве 180Кб. Куда прислать? В форум я думаю не стоит.
    8. Загрузите полученный архив по адресу https://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).

  • Уважаемый(ая) Sot, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 02.07.2011, 20:32
    2. Ответов: 3
      Последнее сообщение: 04.11.2009, 18:39
    3. Комп сам начинает перезагружаться
      От Иванов в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 21.02.2009, 08:40
    4. нет выхода в инет, только пинги по IP
      От polesa в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 27.01.2009, 14:28
    5. Ответов: 9
      Последнее сообщение: 08.12.2006, 11:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00029 seconds with 17 queries