Показано с 1 по 10 из 10.

Помогите вылечить компы (заявка № 77161)

  1. #1
    Junior Member Репутация
    Регистрация
    12.03.2010
    Сообщений
    13
    Вес репутации
    30

    Thumbs up Помогите вылечить компы

    Добрый день!
    С компьютеров идет паразитный трафик интернет (ушло за 2 недели 45Гб трафика, а обычно за месяц около 5). Проверка Антивирусом Касперского и DrWeb Cure it ничего не дала (все чисто).
    Проверка AVZ выдала:
    Код:
    Протокол антивирусной утилиты AVZ версии 4.32
    Сканирование запущено в 27.04.10 15:53:40
    Загружена база: сигнатуры - 271855, нейропрофили - 2, микропрограммы лечения - 56, база от 26.04.2010 14:37
    Загружены микропрограммы эвристики: 383
    Загружены микропрограммы ИПУ: 9
    Загружены цифровые подписи системных файлов: 196312
    Режим эвристического анализатора: Средний уровень эвристики
    Режим лечения: включено
    Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
    Восстановление системы: Отключено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
     Анализ kernel32.dll, таблица экспорта найдена в секции .text
     Анализ ntdll.dll, таблица экспорта найдена в секции .text
     Анализ user32.dll, таблица экспорта найдена в секции .text
     Анализ advapi32.dll, таблица экспорта найдена в секции .text
     Анализ ws2_32.dll, таблица экспорта найдена в секции .text
     Анализ wininet.dll, таблица экспорта найдена в секции .text
     Анализ rasapi32.dll, таблица экспорта найдена в секции .text
     Анализ urlmon.dll, таблица экспорта найдена в секции .text
     Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
     Драйвер успешно загружен
     SDT найдена (RVA=08B520)
     Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
       SDT = 80562520
       KiST = 804E48D0 (284)
    Проверено функций: 284, перехвачено: 0, восстановлено: 0
    1.3 Проверка IDT и SYSENTER
     Анализ для процессора 1
     Анализ для процессора 2
    CmpCallCallBacks = 00145448
    Disable callback - уже нейтирализованы
     Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
     Проверка не производится, так как не установлен драйвер мониторинга AVZPM
     Драйвер успешно загружен
    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 8A84D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 8A84D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 8A84D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A84D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A84D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A84D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 8A84D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A84D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A84D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A84D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A84D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A84D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A84D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A84D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A84D1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 8A84D1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CREATE] = 89A2B500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CLOSE] = 89A2B500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_WRITE] = 89A2B500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 89A2B500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 89A2B500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 89A2B500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_EA] = 89A2B500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89A2B500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 89A2B500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 89A2B500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 89A2B500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 89A2B500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 89A2B500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_PNP] = 89A2B500 -> перехватчик не определен
     Проверка завершена
    ВЫполнение правил запроса помощи уже первого пункта займет около 2-3 часов. Есть какие-нибудь мысли?!
    Машина не одна такая в локалке, поэтому думаю напряжно будет на всех такое проделывать.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    12.03.2010
    Сообщений
    13
    Вес репутации
    30

    файлы

    Посмотрите плиз логи.
    virusinfo_cure.zip - имеется в наличии

    GMER показал

    GMER 1.0.15.15281 - http://www.gmer.net
    Rootkit quick scan 2010-04-27 16:53:33
    Windows 5.1.2600 Service Pack 3
    Running: 0xjfxgs2.exe; Driver: C:\WINDOWS\TEMP\kgtdapod.sys


    ---- Disk sectors - GMER 1.0.15 ----

    Disk \Device\Harddisk0\DR0 sector 01: copy of MBR

    ---- Devices - GMER 1.0.15 ----

    Device \FileSystem\Ntfs \Ntfs 8A84D1F8

    AttachedDevice \FileSystem\Ntfs \Ntfs PGPfsfd.sys (PGP FSFD/PGP Corporation)
    AttachedDevice \FileSystem\Ntfs \Ntfs amon.sys (Amon monitor/Eset )

    Device \FileSystem\Fastfat \Fat 89A2B500

    AttachedDevice \FileSystem\Fastfat \Fat PGPfsfd.sys (PGP FSFD/PGP Corporation)
    AttachedDevice \FileSystem\Fastfat \Fat amon.sys (Amon monitor/Eset )

    ---- EOF - GMER 1.0.15 ----
    Последний раз редактировалось ElvisPresley; 27.04.2010 в 15:54.

  4. #3
    Junior Member Репутация
    Регистрация
    12.03.2010
    Сообщений
    13
    Вес репутации
    30

    Спецы - помогите!

    Очень прошу о помощи! Голову сломал уже самостоятельно пытаясь найти проблему.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    271
    Доброго времени суток
    Пофиксите в Hijackthis:
    Код:
    O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\TEMP\acqspaa.exe','');
     DeleteService('RKPFQ');
     QuarantineFile('C:\WINDOWS\TEMP\RKPFQ.exe','');
     DeleteFile('C:\WINDOWS\TEMP\RKPFQ.exe');
     DeleteFile('C:\WINDOWS\TEMP\acqspaa.exe');
    DeleteFile('C:\Windows\Tasks\Error scan.job');
    BC_ImportALL;
    BC_DeleteSvc('RKPFQ');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам

  6. #5
    Junior Member Репутация
    Регистрация
    12.03.2010
    Сообщений
    13
    Вес репутации
    30

    СПАСИБО что небросили в беде

    Выполнил все, как Вы написали.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    271
    Проблема не решилась?

  8. #7
    Junior Member Репутация
    Регистрация
    12.03.2010
    Сообщений
    13
    Вес репутации
    30
    Решилась судя по всему. Я сам еще до Вашего ответа просмотрел логи от АВЗ и поудалял кое-что (system32\drivers\sppf.sys, sp**.sys), Win\TEMP чистил, но он опять нарастал грязью. За сегодня 300Мб исходящего трафика. Думаю тему можно закрыть, если в последних логах ничего не нашли.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    271
    Цитата Сообщение от ElvisPresley Посмотреть сообщение
    кое-что (system32\drivers\sppf.sys, sp**.sys),
    это драйвер от Daemon Tools.
    выполните процедуру, описанную в первом сообщении.

  10. #9
    Junior Member Репутация
    Регистрация
    12.03.2010
    Сообщений
    13
    Вес репутации
    30
    Цитата Сообщение от DefesT Посмотреть сообщение
    это драйвер от Daemon Tools.
    выполните процедуру, описанную в первом сообщении.
    Я его не устанавливал. Но то, что после удаления sp**.sys файлов еще sp**.sys файлы появлялялись и после нескольких танцев с бубнами больше сообщений от АВЗ при прогоне скана не было.

    Добавлено через 19 минут

    Файл сохранён как 100428_185911_virusinfo_files_ELVIS_4bd84d3fc048b. zip
    Размер файла 17602564
    MD5 08c7876c3ca2e9f42af8bfb935fc678f
    Последний раз редактировалось ElvisPresley; 28.04.2010 в 18:04. Причина: Добавлено

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) ElvisPresley, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Лечить заражённые компы. Чем?
      От Iskatel S в разделе Вредоносные программы
      Ответов: 7
      Последнее сообщение: 28.07.2011, 14:19
    2. Глючат компы.
      От The_Immortal в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.03.2010, 18:46
    3. Не пингуются компы друг с другом
      От Владимир_Ильич в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 19.12.2009, 23:43
    4. Тормозят компы
      От Shuka в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 18.11.2009, 17:50
    5. Помогите компы мрут
      От uniken1 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.06.2008, 10:48

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01224 seconds with 16 queries