Увеличение файла подкачки

[Verdammt]

Чтото подцепил пару дней назад... Постоянно увеличивается файл подкачки(до 1,5 гб доходит и это не предел ) + интернет не работает(юзаю через Нокиа Н73): комп чтото отправляет бешеными темпами, но получить ничего не может.

Аваст нашел несколько вирусов, но это не помогло :no:

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('RiSingKaKaaer', 4);SetServiceStart('notwq', 4);SetServiceStart('takfl', 4);SetServiceStart('takjl', 4);SetServiceStart('tasmq', 4);SetServiceStart('WindowsRemote', 4);SetServiceStart('wmiApSvc', 4);SetServiceStart('rock32 room', 4);QuarantineFile('C:\WINDOWS\system32\RiSinger.exe','');QuarantineFile('C:\WINDOWS\system32\rock32.exe','');QuarantineFile('c:\windows\system32\stormserver.dll','');QuarantineFile('c:\windows\system32\tasmq.exe','');QuarantineFile('c:\windows\system32\takjl.exe','');QuarantineFile('c:\windows\system32\takfl.exe','');QuarantineFile('c:\windows\system32\reminst\smss.exe','');QuarantineFile('c:\windows\system32\notwq.exe','');QuarantineFile('c:\windows\system32\mn\0001.exe','');QuarantineFile('C:\WINDOWS\system32\DuBa.exe','');  DeleteFile('C:\WINDOWS\system32\DuBa.exe');DeleteFile('c:\windows\system32\mn\0001.exe');DeleteFile('c:\windows\system32\notwq.exe');DeleteFile('c:\windows\system32\reminst\smss.exe');DeleteFile('c:\windows\system32\takfl.exe');DeleteFile('c:\windows\system32\takjl.exe');DeleteFile('c:\windows\system32\tasmq.exe');DeleteFile('C:\WINDOWS\system32\notwq.exe');DeleteFile('C:\WINDOWS\System32\RemInst\smss.exe');DeleteFile('c:\windows\system32\stormserver.dll');DeleteFile('C:\WINDOWS\system32\tasmq.exe');DeleteFile('C:\WINDOWS\system32\takjl.exe');DeleteFile('C:\WINDOWS\system32\takfl.exe');DeleteFile('C:\WINDOWS\system32\RiSinger.exe');DeleteFile('C:\WINDOWS\system32\rock32.exe');DeleteService('RiSingKaKaaer');DeleteService('wmiApSvc');DeleteService('WindowsRemote');DeleteService('tasmq');DeleteService('takjl');DeleteService('takfl');DeleteService('notwq');DeleteService('rock32 room');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Включите AVZPM и повторите логи.

[Verdammt]

Вот.

А можно узнать что это за процессы: MDM.exe и System?

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

[akoK]

MDM.exe - проверьте на http://www.virustotal.com/ru/

C:\WINDOWS\system32\RiSinger.exe - Trojan-Downloader.Win32.Agent.awya

C:\WINDOWS\system32\rock32.exe - Trojan-Downloader.Win32.Agent.awya

c:\windows\system32\tasmq.exe - Trojan-Proxy.Win32.Small.xz

c:\windows\system32\takjl.exe - DDoS.Attack.origin

c:\windows\system32\takfl.exe - DDoS.Attack.origin

c:\windows\system32\reminst\smss.exe - Trojan.Win32.VB.iah

c:\windows\system32\notwq.exe - Trojan-Proxy.Win32.Small.xy

C:\WINDOWS\system32\DuBa.exe - Rootkit.Win32.Agent.ftf

Ддосите помаленьку :no:

Ваш провайдер?

168.191.0.0 - 168.193.255.255Sprint12502 Sunrise Valley DrRestonVA20196United Statesarin-sprint-iprequest+1-800-232-3458ip-request@sprint.netWest, Ken R+1-703-689-7173ken.r.west@sprint.comAbuse:Sprint AUP Enforcement Team+1-800-232-6895abuse@sprint.netNS1.DIALSPRINT.NETNS2.DIALSPRINT.NETNS3.DIALSPRINT.NET

Если нет пофиксить в HijackThis следующие строчки

 O17 - HKLM\System\CCS\Services\Tcpip\..\{B5E74D70-F8BE-470B-8832-543A361709BC}: NameServer = 168.192.0.1

!!! Возможно будет необходимо внести настройки предоставленные Вам провайдером

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Как самочуствие?

[Verdammt]

Malwarebytes' Anti-Malware 1.31

Database version: 1535

Windows 5.1.2600 Service Pack 2

23.12.2008 18:01:34

mbam-log-2008-12-23 (18-01-34).txt

Scan type: Full Scan (C:\|D:\|)

Objects scanned: 93201

Time elapsed: 57 minute(s), 55 second(s)

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 1

Memory Processes Infected:

(No malicious items detected)

Memory Modules Infected:

(No malicious items detected)

Registry Keys Infected:

(No malicious items detected)

Registry Values Infected:

(No malicious items detected)

Registry Data Items Infected:

(No malicious items detected)

Folders Infected:

(No malicious items detected)

Files Infected:

C:\bot.txt (Trojan.Agent) -> Quarantined and deleted successfully.

http://www.virustotal.com/ru/analisis/a85b...b4edef73e2855d6 - MDM.exe (это кажеться майкрософтовская прога)

Что значит: Ддосите помаленьку?

Можно гдето почитать о разновидностях троянов, вирусов и т.д.?

[akoK]

Это значит, что на одну зомбированную машину стало меньше :no:

Можно гдето почитать о разновидностях троянов, вирусов и т.д.?

http://www.viruslist.com/ru/viruses/encyclopedia

Изменено 23 декабря, 2008 пользователем akoK

[Verdammt]

Огромное спасибо! Не знаю что бы без вас делал^^"

[ТроПа]

Mdm.exe (Machine Debug Manager) – используется Windows NT Option Pack и Microsoft Developer Studio чтобы обеспечить функции отладки приложений. Программа в старых версиях Windows запускалась с запуском Interner Explorer 4.0. В Windows 2000/XP/2003 программа запускается как системная служба при старте компьютера.

Но это зависит от того где он находится.