Показано с 1 по 12 из 12.

Однако трояны жрут траффик. Однако жалко. (заявка № 9876)

  1. #1
    Junior Member Репутация
    Регистрация
    19.05.2007
    Сообщений
    5
    Вес репутации
    43

    Thumbs up Однако трояны жрут траффик. Однако жалко.

    Здрасте.
    У меня W2K. Нахватал я букет хворей всяких: трояны, вирусы. Проверял системный раздел АВПшником, нашел троян(ы) и какой-то вирус. На дню по несколько раз проверяю пытаясь избавиться от заразы.
    За сегодня обнаружил вирус в файле Winnt/system32/msdom2.dll, удалил его. Поискал такой же файл в копии системы, там его нет. Однако теперь IE работает весьма глючно и ругается на отсутствие этого файла. Еще после каждой перезагрузки обнаруживаю троян "Rootkit.win32.agent.dp" в файле Netdtect.sys.
    Еще у меня при подключении к инету траффик улетает в трубу, глазом моргнуть не успеваю. Пытался отслеживать в Outpost'е (в закладке "Сетевая активность") процессы пользующиеся инетом, и по очереди отключал. В общем Outpost показывает что активен Msimn.exe (хотя на самом деле этот процесс вообще не запущен), обрубаю ему доступ. Тут же пишется что активен IE, хотя он тоже закрыт. Обрубаю ему доступ, и т.д. Тем временем траффик съедается. И даже при отключенном инете, в Outpost'e показывается, что какой-нибудь из системных процессов непрерывно пытается воспользоваться инетом.
    Так было еще сегодня. Но после сегодняшних, многочисленных проверок системного раздела АВПшником и AVZ, в данный момент вроде все в порядке. Инет не сгорает, Outpost говорит что все спокойно и никто не претендует на интернет. Но я почти уверен что проблемы всплывут после перезагрузки, или небольшой прогулки по инету. т.к. источник проблем, судя по всему не устранен.
    P.S. Файлы прикрепить не могу. Тыкаю на кнопку "Управление вложениями" и ничего не происходит.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1817
    Однако Правила выполнить все же стоит.
    Логи, например, можно залить на рапиду (rapidshare.ru), а ссылки на них сюда вставить.
    Последний раз редактировалось Alex_Goodwin; 20.05.2007 в 02:00.
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    19.05.2007
    Сообщений
    5
    Вес репутации
    43
    Заработал таки ИЭксплорер. В общем поставил я себе шестой АВП, обновления позавчерашние. Проверил комп. АВП нашел все что сумел, но вирус остался. Каждый раз после загрузки АВПшник сообщает о запуске скрытого процесса iexplore.exe, я его закрываю и инет работает нормально. Если его не закрыть, то в Аутпосте видно что этот процесс непрерывно пытается связаться с сетью. И при подключении он съедает траффик.
    В общем корни нужно выдрать. AVZ говорит что корни судя по всему в runtime2.sys, который вручную найти не удается, он не отображается в проводнике.
    И еще проблема: комп часто перезагружаться стал, либо выпадает в синий экран, либо просто молча перезагружается. Как правило когда сильно занят процессор.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1699
    Выполните скрипты в AVZ

    1.
    Код:
    begin
     BC_QrSvc('runtime2');
     BC_QrSvc('runtime');
     BC_QrFile('C:\WINNT\System32\drivers\runtime.sys');
     BC_QrFile('C:\WINNT\system32\drivers\runtime2.sys');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('runtime');
     BC_DeleteFile('C:\WINNT\System32\drivers\runtime.sys');
     BC_DeleteFile('C:\WINNT\system32\drivers\runtime2.sys');
     BC_Activate;
     RebootWindows(true);
    end.
    2.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINNT\Temp\startdrv.exe','');
     QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    3.
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'virus.zip');
    end.
    Загрузите файл virus.zip из папки AVZ по этой ссылке. Повторите логи.

  6. #5
    Junior Member Репутация
    Регистрация
    19.05.2007
    Сообщений
    5
    Вес репутации
    43
    Всё сделал вроде правильно.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Карантин пуст, видимо файлы опознаны AVZ как безопасные.
    В логах больше ничего криминального нет.
    Я бы рекомендовал отключить эти службы (если не используются):
    Код:
    O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - C:\WINNT\system32\faxsvc.exe
    O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: Служба сообщений (Messenger) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\system32\mnmsrvc.exe
    O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINNT\system32\tlntsvr.exe
    (если есть локальная сеть, Обозреватель компьютеров и Сервер оставьте).
    P.S. Служба сообщений (Messenger) не имеет отношения к программе Windows Messenger и часто используется спамерами, отключить 100%.
    I am not young enough to know everything...

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1699
    Выполните скрипт в AVZ
    Код:
    begin
    ClearQuarantine;
     BC_QrFile('c:\program files\internet explorer\iexplore.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    Пришлите файлы карантина по правилам раздела "Помогите".

  9. #8
    Junior Member Репутация
    Регистрация
    19.05.2007
    Сообщений
    5
    Вес репутации
    43
    MaXim Код для HijackThis правильный? Последня строчка как-то странно заканчивается.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1699
    Последняя строчка как-то странно заканчивается.
    Вот поэтому её и надо фиксить

  11. #10
    Junior Member Репутация
    Регистрация
    19.05.2007
    Сообщений
    5
    Вес репутации
    43
    Спасибо большое. Всё сделал. Карантинный файл отправил. Пока всё работает без глюков Теперь надо домашний комп вылечить, там те же вирусы должны быть.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1699
    Всё нормально.

    Советую почитать на досуге вот эту книгу.

    Вы можете нас отблагодарить так. Мы будем Вам очень благодарны!
    В качестве вариантов ещё почитайте тут и тут.

    Отдельно поблагодарить хелперов можно повысив им рейтинг. Для этого есть кнопочка в самом низу "визитной карточки" в виде весов у сообщения хелпера.

    Удачи!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,224
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 5
    • Обработано файлов: 18
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Psyh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. нужна помощь,вирус однако.
      От павел1980 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 26.09.2010, 02:23
    2. Диспечер задач, однако...
      От Vilur в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 24.06.2007, 17:47
    3. Microsoft однако?!
      От naik212006 в разделе Ложные срабатывания
      Ответов: 1
      Последнее сообщение: 16.11.2006, 02:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00211 seconds with 17 queries