Показано с 1 по 11 из 11.

Огромный исходящий траффик (заявка № 11377)

  1. #1
    Junior Member Репутация
    Регистрация
    27.07.2007
    Сообщений
    6
    Вес репутации
    35

    Thumbs up Огромный исходящий траффик

    Админ сказал, что с моей машины идёт огромный исходящий траффик. Плюс утилитка bwmeter засекла некую активность в ночное время.
    В эту ночь с 21.00 по 5.00 ежечасно исходящий траффик ~500Кб, входящий ~70+Кб. До и после окончания этого промежутка соотношение траффика каждый час 40Кб:10Кб. Меня в это время на работе не было, компьютер был включен, запущены были обычные ежедневные приложения.

    Прошу помощи, Благодарю заранее.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Ваш админ прав
    1.Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\program files\cctray\cctray.exe','');
     QuarantineFile('c:\windows\system32\inetsrv\inetinfo.exe','');
     QuarantineFile('C:\WINDOWS\system32\msindeo.dll','');
     QuarantineFile('C:\WINDOWS\WindowsSecurityUpdate.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
     QuarantineFile('C:\Program Files\CCTray\SerialPort.dll','');
    DeleteFile('C:\WINDOWS\WindowsSecurityUpdate.exe');
    DeleteFile('C:\WINDOWS\system32\msindeo.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

    2.Пофиксить в HijackThis следующие строчки- если будут такие ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll
    O4 - HKLM\..\Run: [Security] C:\WINDOWS\WindowsSecurityUpdate.exe
    O21 - SSODL: msindeo.dll - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll
    O23 - Service: Windows Audio AudioSrvRasAuto (AudioSrvRasAuto) - Unknown owner - C:\WINDOWS\system32\lr87.exe (file missing)
    O23 - Service: Secondary Logon seclogonwuauserv (seclogonwuauserv) - Unknown owner - C:\WINDOWS\system32\accservf.exe (file missing)
    3.Сделайте новые логи после лечения и присоедините к следующему сообщению.
    Последний раз редактировалось drongo; 27.07.2007 в 14:40.

  4. #3
    Junior Member Репутация
    Регистрация
    27.07.2007
    Сообщений
    6
    Вес репутации
    35
    Сделал всё, как велели.
    Запрошенные файлы из карантина послал чуть ранее.
    В аттаче последние логи.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    msindeo.dll = http://virusinfo.info/showpost.php?p...&postcount=238
    Плохо фиксили , 023 особенно надо, сказано : http://virusinfo.info/showpost.php?p=80604&postcount=2
    Код:
    O23 - Service: Secondary Logon seclogonwuauserv (seclogonwuauserv) - Unknown owner - C:\WINDOWS\system32\accservf.exe (file missing)
    O23 - Service: Windows Audio AudioSrvRasAuto (AudioSrvRasAuto) - Unknown owner - C:\WINDOWS\system32\lr87.exe (file missing)
    C:\WINDOWS\system32\drivers\oreans32.sys сохраните в укромном месте9лучше в архиве под паролем), а из нынешней папки удалите. если все программы будут работать стабильно- то можно удалить совсем.
    Последний раз редактировалось drongo; 27.07.2007 в 20:52.

  6. #5
    Junior Member Репутация
    Регистрация
    27.07.2007
    Сообщений
    6
    Вес репутации
    35
    да, я уж после отправки заметил, что эти пункты не пофиксились.
    простой останов сервисов, кстати, не помог. пришлось сделать руками disable, только тогда пофиксилось.

    файл oreans32.sys убрал в архив

    остался последний вопрос: что делать с msindeo.dll? он уже прибит? или надо ещё что-то сделать дополнительно?

  7. #6
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     StopService('seclogonwuauserv');
     StopService('AudioSrvRasAuto');
     BC_DisableSvc('seclogonwuauserv');
     BC_DisableSvc('AudioSrvRasAuto');        
     BC_DeleteSvc('seclogonwuauserv');
     BC_DeleteSvc('AudioSrvRasAuto');
     BC_DeleteFile('C:\WINDOWS\system32\accservf.exe');
     BC_DeleteFile('C:\WINDOWS\system32\lr87.exe');      
     BC_Activate;
     RebootWindows(true);
    end.
    Повторите логи.

  8. #7
    Junior Member Репутация
    Регистрация
    27.07.2007
    Сообщений
    6
    Вес репутации
    35
    Скрипт выполнил, прикладываю логи
    Вложения Вложения

  9. #8
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Всё нормально. Проблема решена?

  10. #9
    Junior Member Репутация
    Регистрация
    27.07.2007
    Сообщений
    6
    Вес репутации
    35
    Цитата Сообщение от Maxim Посмотреть сообщение
    Всё нормально.
    тьфу-тьфу-тьфу

    Цитата Сообщение от Maxim Посмотреть сообщение
    Проблема решена?
    надеюсь, что да.

    Спасибо огромное за помощь.

  11. #10
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,557
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\msindeo.dll - Trojan-Spy.Win32.Goldun.pc (DrWEB: Trojan.PWS.GoldSpy)


  • Уважаемый(ая) Senescent, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Огромный интернет траффик
      От Blondinochka в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 03.12.2010, 15:19
    2. Огромный исходящий траффик!
      От Arimeikuto в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 07:22
    3. Огромный исходящий трафик
      От Ker в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 03:38
    4. Ответов: 8
      Последнее сообщение: 22.02.2009, 01:42
    5. Огромный исходящий трафик!
      От aleknar в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 29.10.2006, 12:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00748 seconds with 22 queries