-
Junior Member
- Вес репутации
- 50
Паразитный траффик ...
По порядку.
Symantec ругался что отправляются спам письма, но сам не находил ничего.
Снес Symantec, поставил свежий Outpost Suite. Он то же ничего не находит, но в логе брандмауера (прилагается) куча разных OUT на 25 порт. Ну и траффик постоянно растёт, хотя никаие программы не запущены.
Кто,что и куда шлёт от меня ? Как это побороть ?
P.S. утилиты от Касперского и Dr.Web ничего не выявили кроме Троян.кукки ...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
QuarantineFile('C:\WINDOWS\system32\mwysbcly.dll','');
DeleteFile('C:\WINDOWS\system32\mwysbcly.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 50
-
Выполните скрипт в АВЗ -
Код:
begin
RegKeyStrParamWrite('HKLM', 'system\currentcontrolset\control\securityproviders', 'SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Повторите логи АВЗ
-
-
Junior Member
- Вес репутации
- 50
-
Junior Member
- Вес репутации
- 50
Вроде нет больше трафика тьфу тьфу тьфу ...
Что это было то хоть ?
-
Что с проблемой?
Было - Trojan.DownLoader1.27910 по вердикту Доктора Вэба.
-
-
Junior Member
- Вес репутации
- 50
А чего же тогда cureit не видел этого ?
Проблема вроде пофиксилась ТЬФУ ТЬФУ ТЬФУ.
Спасибо большое !!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\mwysbcly.dll - Trojan-Spy.Win32.Zbot.atkm ( DrWEB: Trojan.DownLoader1.27910, BitDefender: Trojan.Generic.5083592, AVAST4: Win32:Zbot-MWP [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-