[Лог!] Куда-то уходит исходящий трафик в бешеных темпах

[Zipopo]

Будьте добры, проверьте логи.

Куда-то уходит исходящий трафик. И чем выше моя активность в интернете, т.е. чем больше качаю, тем больше отправленного трафика (в 2 раза и более).

 

Пока тут смотрел форум, регистрировался, писал эту тему -

Принято: 14.5 мб.

Отправлено: 28.3 мб.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[Falcon]

Внимание ! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Обновите базы AVZ и сделайте новые логи.

[thyrex]

Будьте добры, проверьте логи.

Куда-то уходит исходящий трафик. И чем выше моя активность в интернете, т.е. чем больше качаю, тем больше отправленного трафика (в 2 раза и более).

 

Пока тут смотрел форум, регистрировался, писал эту тему -

Принято: 14.5 мб.

Отправлено: 28.3 мб.

Проверьте на virustotal D:\WINDOWS\System32\Drivers\abb12pgq.SYS Результат (ссылку на него) сообщите

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Temp\winqsXM9Q6ODGH0Zf.exe','');
QuarantineFile('D:\WINDOWS\system32\crypts.dll','');
DeleteFile('D:\WINDOWS\system32\crypts.dll');
DeleteFile('crypts.dll');
DeleteFile('C:\Temp\winqsXM9Q6ODGH0Zf.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('D:\WINDOWS\system32\crypts.dll');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

 

Выполнить скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В теле письма укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Повторите логи (обновив базы AVZ)

Изменено 7 апреля, 2009 пользователем thyrex

[Zipopo]

Проверьте на virustotal D:\WINDOWS\System32\Drivers\abb12pgq.SYS

Как ни странно, этого файла нету.

 

Базы AVZ обновил, скрипты выполнил. Логи прилагаю.

Файл "quarantine.zip" отправил на "newvirus@kaspersky.com"

 

К сожалению, результата пока нет.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[thyrex]

Как ни странно, этого файла нету.

 

Базы AVZ обновил, скрипты выполнил. Логи прилагаю.

Файл "quarantine.zip" отправил на "newvirus@kaspersky.com"

 

К сожалению, результата пока нет.

D:\Documents and Settings\Админ\file.exe - знакомо? Если нет, проверьте на virustotal

 

Пофиксить в HiJack

O20 - Winlogon Notify: crypt - D:\WINDOWS\

Изменено 7 апреля, 2009 пользователем thyrex

[Zipopo]

Пофиксить в HiJack

Спасибо, пофиксил.

 

D:\Documents and Settings\Админ\file.exe - знакомо? Если нет, проверьте на virustotal

Вот ссылка на результат. Этот файл поддался удалению.

Сейчас выложу логи.

 

Логи.

virusinfo_syscure.zip

hijackthis.log

Изменено 7 апреля, 2009 пользователем Zipopo

[thyrex]

Логи.

Что с проблемой?

[Zipopo]

Что с проблемой?

К большому сожалению, проблема осталась.

 

Кстати, вот ответ от NewVirus:

Hello,

crypts.dll - Trojan-Downloader.Win32.Small.ajxn

This file is already detected. Please update your bases.

Изменено 7 апреля, 2009 пользователем Zipopo

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('ethabpav', 4);
QuarantineFile('D:\WINDOWS\system32\drivers\ethabpav.sys','');
DeleteFile('D:\WINDOWS\system32\drivers\ethabpav.sys');
DeleteService('ethabpav');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Включите AVZPM и повторите логи.

[Zipopo]

akoK, спасибо! Завтра выполню, просто тот компьютер на работе.

[Zipopo]

Выполнил скрипт, проблема исчезла. Архив отправил на newvirus. Логи прилагаю.

 

Большое всем спасибо.

Ответ от newvirus нужно здесь написать?

virusinfo_syscure.zip

hijackthis.log

[Falcon]

Ответ от newvirus нужно здесь написать?

Да, пожалуйста, если вас не затруднит, только фамилию аналитика не публикуйте

Изменено 8 апреля, 2009 пользователем Falcon

[akoK]

Zipopo, желательно узнать что поймали

[Zipopo]

akoK, шорошо. Как только придет ответ - выложу его сюда.

 

Тут по ходу дела возник один вопрос. Не хотелось создавать новую тему.

Если не сложно, ответьте.

 

Почему KIS 7 не делает проверку в режиме реального времени?

 

Вот, кстати, и ответ!

Что-то новое.

 

Hello,

ethabpav.sys - Backdoor.Win32.IEbooot.bnc

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.

The answer is relevant to the latest bases from update sources.