-
Junior Member
- Вес репутации
- 63
большой исходящий трафик + проблемы с некоторыми файлами
Здравствуйте!
Впечатление такое, что некий вирус (руткит?) шлет с моего компьютера мегабайты инфы. Смотрел на соединения через TCPview - кажется, в определнный момент некий процесс заставляет какой-либо из рабочих процессов (любое работающее приложение) слушать порт по TCP. Потом это приложение устанавливает соединение с сервером reverse.layeredtech.com (протокол http). Затем уже (не обязательно сразу) в Task Maanger появляется пара чужих процессов (названия начинаются с win... - причем файлы этих процессов создаются во временной папке текущего, как я понимаю, пользователя - например, C:\Documents and Settings\Администратор\Local Settings\Temp примеры названия этих файлов: winujvgh.exe, winbwarfg.exe). После этого начинался веер соединений, коротких, но очень много (один сменялись другими). Насколько я понял, протокол smtp. Дальше приходится убивать процессы/разрывать соединение (диал-ап).
Несколько примечаний
1. По ходу, оно сразу убило экзешник KAV. Монитор больше не загружался и вообще экзешник пропал.
2. Задело Total Commander - пишет, что файл повреджен, возможно, вирус, сейчас закроюсь.
3. Дозвонщик MuxaSoft Dialer пропал (но это уже после проверки DrWebCureIt - он его вроде как излечивал).
4. Активность начинается без видимой системы... Т.е. только если подключен Интернет, конечно, но не обязательно сразу (каждый из следующих шагов, описанных выше тоже не обязательно начанались сразу после предыдущего).
5. Да, CureIt нашел единственную заразу вроде Win.HHPP... или как-то так. Ее он и лечил, но результата не заметно.
ПС - Все сделал, как написано в правилах. Сам далеко не компьютерщик, хотя и работаю на нем плотно... Так что если что не так, извиняйте
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
RussianThug.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\Program Files\Common Files\KAV Shared Files\avp32Loc.dll','');
QuarantineFile('E:\WINDOWS\system32\systemuser\sys2.dll' ,'');
QuarantineFile('E:\WINDOWS\system32\drivers\ddnt.sys','');
QuarantineFile('E:\WINDOWS\System32\wmdconf32.dll','');
QuarantineFile('E:\WINDOWS\System32\win65121.dll','');
QuarantineFile('E:\WINDOWS\System32\vcmgcd32.dll','');
RebootWindows(true);
end.
Cистема будет перезагружена. После перезагрузки, пришлите карантин AVZ, как написано в прил.2 правил Ссылка на вашу тему - http://virusinfo.info/showthread.php?t=8298 . Вот такого:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
я давно не видел. Крайне рекомендуется поставить SP2 для Windows XP + все последующие обновления. И поясните, пожалуйста: файл hosts сами правили?
-
-
Junior Member
- Вес репутации
- 63
Архив с файлами отправил.
Насчет кофигурации. Ставил я Винды давно, те, что еще не SP2, но потом ставил патчи, так что вот уже пару-тройку лет никаких проблем не было. Компьютер совсем не новый и давно используется только для работы, так что на нем все так мило заточено поэтому очень не хотелось бы сейчас переустанавливать Винды.
MSIE вроде бы больше часть системы даже, а не просто браузер, но, на всякий случай, как браузером я им не пользуюсь Пользуюсь Опера 8.51.
Насчет этого случая. Обычно я на нем ничего потенциально опасного не запускаю, а тут по глупости скачал несколько экзешников с чужого винта и запустил. Сначала заметил исходящий трафик, потом посмотрел его в tcpview. Попробовал поискать что-нибудь в Интернете, самое близкое (и практически единственное), что нашел - http://forum.ixbt.com/topic.cgi?id=7:29680 Оказалось, вроде, не совсем то. Потом нашел тему про большой исходящий трафик здесь, решил обратиться.
Насчет файла hosts. Я его посмотрел: то, что там сейчас, - это точно не я правил. Я мог его править давно, когда не резолвились или неправильно резолвились пара адресов, которые мне были нужны, но сейчас там знакомых мне адресов нет (по-моему, я их сам оттуда удалил, когда проблемы с теми адресами решились).
Кстати, сейчас пока это писал и был онлайн, никакой активности не происходило...
Последний раз редактировалось RussianThug; 08.03.2007 в 02:56.
Причина: MSIE :)
-
В присланых вами файлах:
- not-a-virus:Monitor.Win32.ActualSpy.a
- Trojan-Spy.Win32.Goldun.lm
- Virus.Win32.Sality.q
AVZ их всех удалил.
Чтобы почистить файл hosts, выполните вот такой скрипт в AVZ
AVZ -> Файл -> Выполнить скрипт:
Код:
begin
ExecuteRepair(13);
end.
Плюс, зделайте два последних лога из правил, для контроля.
-
-
Сообщение от
RussianThug
Насчет кофигурации. Ставил я Винды давно, те, что еще не SP2, но потом ставил патчи, так что вот уже пару-тройку лет никаких проблем не было. Компьютер совсем не новый и давно используется только для работы, так что на нем все так мило заточено
поэтому очень не хотелось бы сейчас переустанавливать Винды.
Вам никто Windows переставлять не рекомендовал. Просто установку "сервис-паков" и дальнейших обновлений. При этом слетает "левая" активация.
-
-
На всякий случай: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
ClearHostsFile;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\WINDOWS\system32\drivers\ddnt.sys');
DeleteFile('E:\WINDOWS\system32\systemuser\sys2.dll');
DeleteFile('E:\WINDOWS\System32\vcmgcd32.dll');
DeleteFile('E:\WINDOWS\System32\wmdconf32.dll');
DeleteFile('E:\WINDOWS\System32\win65121.dll');
ExecuteSysClean;
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки сделайте, пожалуйста, новые логи. И еще: файл
Код:
E:\WINDOWS\system32\systemuser\sys2.dll
Детектится, как not-a-virus:Monitor.Win32.ActualSpy.a Не имел близко дела с ActualSpy, но, в принципе, он - коммерческий продукт, который мог быть установлен и вами. Приведенный скрипт удаляет данный файл. И еще - все из присланного, что явно детектится, - программы-шпионы. Думаю, есть смысл поменять все пароли на данной машине.
UPD: пришел ответ от лаборатории Касперского: E:\WINDOWS\system32\drivers\ddnt.sys - Rootkit.Win32.Agent.ec. Скрипт поправлен с учетом удаления и этого файла. Теперь, думаю, выполнять обязательно.
Последний раз редактировалось Numb; 09.03.2007 в 15:43.
Причина: Касперским добавлен детект руткита.
-
-
Junior Member
- Вес репутации
- 63
-
Сделайте новые логи для очистки нашей совести.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- e:\\windows\\system32\\systemuser\\sys2.dll - not-a-virus:Monitor.Win32.ActualSpy.a (DrWEB: Program.ActulSpy)
- e:\\windows\\system32\\vcmgcd32.dll - Virus.Win32.Sality.q (DrWEB: Win32.HLLP.Sector)
- e:\\windows\\system32\\win65121.dll - Trojan-Proxy.Win32.Agent.ll (DrWEB: Trojan.Proxy.1752)
- e:\\windows\\system32\\wmdconf32.dll - Trojan-Spy.Win32.Goldun.lm (DrWEB: Trojan.PWS.GoldSpy)
-