Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Вирус кушает трафик [LOG!]

Roman Nikolaev

Автор Roman Nikolaev
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Roman Nikolaev Новичок

Roman Nikolaev

Опубликовано
Опубликовано

На одном из компов в компанни где я работаю появились симптомы заражения. Вирус кушает трафик. Вызывает сбои в загрузки системы. Определить вирус не удалось. Буду признателен, если вы поможете мне еще раз. Вот логи:

 

Извините, ответа ждать?

virusinfo_syscure.zipПолучение информации...

virusinfo_syscheck.zipПолучение информации...

hijackthis.logПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mmbank.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\mmmsmqqki.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
QuarantineFile('C:\WINDOWS\system32\3com_dmiw.exe','');
QuarantineFile('C:\WINDOWS\Temp\BN4.tmp','');
QuarantineFile('C:\Documents and Settings\maxim\Local Settings\Temp\BN2.tmp','');
DeleteService('systemntmi');
DeleteService('securentm');
DeleteService('netsik');
DeleteService('ksi32sk');
DeleteService('i386si');
DeleteService('EventSystemdmadmin');
DeleteFile('C:\Documents and Settings\maxim\Local Settings\Temp\BN2.tmp');
DeleteFile('C:\WINDOWS\Temp\BN4.tmp');
DeleteFile('C:\WINDOWS\system32\3com_dmiw.exe');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\mmmsmqqki.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\mmbank.exe');
DeleteFileMask('C:\WINDOWS\Temp', '*.*', true);
DeleteFileMask('C:\Documents and Settings\maxim\Local Settings\Temp', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('securentm');
BC_DeleteSvc('netsik');
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('i386si');
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack

 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmsmqqki.dll

Обновить базы AVZ

Сделайте новые логи

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Пофиксить в HijackThis следующие строчки

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

Повторите лог hijackthis.log

Проблемы какие-то наблюдаются?

Ссылка на комментарий
Поделиться на другие сайты
Roman Nikolaev Новичок

Roman Nikolaev

Опубликовано
  • Автор
Опубликовано

Сторочек таких в HJK не нахожу.

 

На всякий случай запустил Malwarebytes cделал отчет. Там что-то нашлось и пофиксилось.

 

На данный момент утечки трафика не наблюдаю, проблем с загрузкой обновлений Кав и системы не наблюдаю.

Спасибо за помощь!

hijackthis.logПолучение информации...

mbam_log_2009_05_29__16_57_05_.txtПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • User193
      HELP! Explorer.exe! Проводник кушает ОЗУ, норма ли?
      Автор User193
      Ребят, привет! Гляньте на скрин, плиз.
      Не пойму, майнер что-ли сидит или почему так нагружено озу при нахождении в покое.
      Проводник кушает 250 мб, это же не норма? 


    • Dava
      Вирус
      Автор Dava
      Поймал вирус с торрента который устанавливал мне адблок в эдж, вирус и его папки я нашел и удалил, позже удалил торрент, но теперь при открытии эджа у меня пишет "Microsoft edge неожиданно завершил работу, восстановить страницы?"
      Удалять куки и сбрасывать настройки к начальным и тыкать Repair я пробовал, это не помогло. Я предполагаю что где то еще остался вирусняк который лезет в эдж, но касперский его не видит
      Addition.txt FRST.txt
    • Abzz
      Вирус "updater.exe"
      Автор Abzz
      Здраствуйте, абсолютно аналогичная проблема, но не получается перейти по выделенной вами ссылке архива 
      "Скачайте архив по ссылке, распакуйте. Запустите каждый из файлов и подтвердите внесение информации в реестр."
      переносит нету файла для скачивания, помогите пожалуйста.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
       
       
    • Nabludatel
      [РЕШЕНО] NET:MALWARE.URL Вирус
      Автор Nabludatel
      Здравствуйте, нашел через Dr.Web Cureit вирус который невозможно вылечить. 
      Все логи прилагаю.
      Addition.txt FRST.txt cureit.zip
    • Константин174
      Поймали вирус
      Автор Константин174
      Всем Привет проблема поймали вирус [nullhexxx@gmail.com].EAE6F491 есть варианты как избавиться ??????
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...