Бесконечная отправка пакетов [LOG+]

[flagro]

Здравствуйте.

После подключения к интернету компьютер сразу начинает получать и передавать пакеты, когда число переданных и отправленных пакетов достигает 200, на компьютере на всех разделах жесткого диска появляются файлы авторана и файл sss.exe. Так же в процессах появляются процессы H001.exe, J001.exe, ijzab.exe, iyzab.exe и ещё какие-то (они все расположены в папке system32 виндовса) и Spyware-Process-Detector говорит, что три из процессов svchost.exe модифицированы (помимо 7 запущенных svchost'ов, которые Spyware-Process-Detector расценивает как системные процессы). После этого число отправленных пакетов начинает стремительно расти и за достаточно котороткое время число их достигает нескольких миллионов. При попытке запустить Касперского ничего не происходит.

Помогите пожалуйста. Логи приложил.

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\sss.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('%SystemRoot%\system32\youming.dll','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\sss.exe','');
QuarantineFile('C:\WINDOWS\system32\KAVLA6UDLьnЂ\H002.exe','');
QuarantineFile('C:\WINDOWS\System32\smbsvc.dll','');
QuarantineFile('c:\windows\system32\smbctrl.dll','');
QuarantineFile('C:\WINDOWS\system32\4O8GNI4IZьnЂ\J001.exe','');
QuarantineFile('C:\WINDOWS\system32\4O8GNI4IZьnЂ\H001.exe','');
QuarantineFile('c:\windows\system32\iyzab.exe','');
TerminateProcessByName('c:\windows\system32\iyzab.exe');
QuarantineFile('c:\windows\system32\4o8gni4izьnЂ\j001.exe','');
TerminateProcessByName('c:\windows\system32\4o8gni4izьnЂ\j001.exe');
QuarantineFile('c:\windows\system32\ijzab.exe','');
TerminateProcessByName('c:\windows\system32\ijzab.exe');
QuarantineFile('c:\windows\system32\4o8gni4izьnЂ\h001.exe','');
TerminateProcessByName('c:\windows\system32\4o8gni4izьnЂ\h001.exe');
DeleteFile('c:\windows\system32\4o8gni4izьnЂ\h001.exe');
DeleteFile('c:\windows\system32\ijzab.exe');
DeleteFile('c:\windows\system32\4o8gni4izьnЂ\j001.exe');
DeleteFile('c:\windows\system32\iyzab.exe');
DeleteFile('C:\WINDOWS\system32\4O8GNI4IZьnЂ\H001.exe');
DeleteFile('C:\WINDOWS\system32\4O8GNI4IZьnЂ\J001.exe');
DeleteFile('C:\WINDOWS\system32\KAVLA6UDLьnЂ\H002.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\sss.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\sss.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\sss.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\sss.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

 

2.Пофиксить в HijackThis следующие строчки

O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)

 

Повторите логи.

[flagro]

Все сделал, карантин отослал.

Вроде больше не появляется модифицированный svchost.exe, но при подключении к интернету все равно появляются новые процессы. Так же, сам по себе стал появляться процесс интернет експлорера (IEXPLORE.EXE), хотя я использую только гугл хром. Касперский по-прежнему не запускается, пакеты отправляются (но уже не так много). Файл sss.exe и автораны больше не создаются.

Новые логи приложил.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 16 мая, 2009 пользователем flagro

[thyrex]

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\Mfc42.tdm','');
QuarantineFile('c:\windows\system32\youming.dll','');
SetServiceStart('fhdos Service', 4); 
DeleteService('fhdos Service');
DeleteService('Memote');
SetServiceStart('iyzab', 4);
SetServiceStart('ijzab', 4);
DeleteService('iyzab');
DeleteService('ijzab');
TerminateProcessByName('c:\windows\system32\iyzab.exe');
TerminateProcessByName('c:\windows\system32\dkyz1krl3ьnЂ\j001.exe');
TerminateProcessByName('c:\windows\system32\ijzab.exe'); 
QuarantineFile('c:\windows\system32\dkyz1krl3ьnЂ\j001.exe','');
QuarantineFile('c:\windows\system32\iyzab.exe','');
QuarantineFile('c:\windows\system32\ijzab.exe','');
DeleteFile('c:\windows\system32\ijzab.exe');
DeleteFile('c:\windows\system32\iyzab.exe');
DeleteFile('c:\windows\system32\dkyz1krl3ьnЂ\j001.exe');
DeleteFile('c:\windows\system32\youming.dll');
DelWinlogonNotifyByFileName('c:\windows\system32\youming.dll');
DeleteFile('C:\Program Files\Internet Explorer\Mfc42.tdm');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
BC_DeleteSvc('fhdos Service');
BC_DeleteSvc ('Memote');
BC_DeleteSvc ('iyzab');
BC_DeleteSvc ('ijzab');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Если эта запись внесена не вами, тогда пофиксить в HiJack

 O1 - Hosts: 208.109.46.212 www.driver-soft.com

 

Сделайте новые логи. Логи AVZ сделать с помощью полиморфного AVZ из моей подписи