Вирус кушает трафик [LOG!]

[Roman Nikolaev]

На одном из компов в компанни где я работаю появились симптомы заражения. Вирус кушает трафик. Вызывает сбои в загрузки системы. Определить вирус не удалось. Буду признателен, если вы поможете мне еще раз. Вот логи:

 

Извините, ответа ждать?

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[thyrex]

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mmbank.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\mmmsmqqki.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
QuarantineFile('C:\WINDOWS\system32\3com_dmiw.exe','');
QuarantineFile('C:\WINDOWS\Temp\BN4.tmp','');
QuarantineFile('C:\Documents and Settings\maxim\Local Settings\Temp\BN2.tmp','');
DeleteService('systemntmi');
DeleteService('securentm');
DeleteService('netsik');
DeleteService('ksi32sk');
DeleteService('i386si');
DeleteService('EventSystemdmadmin');
DeleteFile('C:\Documents and Settings\maxim\Local Settings\Temp\BN2.tmp');
DeleteFile('C:\WINDOWS\Temp\BN4.tmp');
DeleteFile('C:\WINDOWS\system32\3com_dmiw.exe');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\mmmsmqqki.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\mmbank.exe');
DeleteFileMask('C:\WINDOWS\Temp', '*.*', true);
DeleteFileMask('C:\Documents and Settings\maxim\Local Settings\Temp', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('securentm');
BC_DeleteSvc('netsik');
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('i386si');
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack

 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmsmqqki.dll

Обновить базы AVZ

Сделайте новые логи

Изменено 28 мая, 2009 пользователем thyrex

[Roman Nikolaev]

Сделано.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[ТроПа]

Пофиксить в HijackThis следующие строчки

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

Повторите лог hijackthis.log

Проблемы какие-то наблюдаются?

[Roman Nikolaev]

Сторочек таких в HJK не нахожу.

 

На всякий случай запустил Malwarebytes cделал отчет. Там что-то нашлось и пофиксилось.

 

На данный момент утечки трафика не наблюдаю, проблем с загрузкой обновлений Кав и системы не наблюдаю.

Спасибо за помощь!

hijackthis.log

mbam_log_2009_05_29__16_57_05_.txt

[thyrex]

А если бы базы были обновлены, глядишь и обошлись бы без MBAM