Показано с 1 по 11 из 11.

Что-то грузит внешнюю сеть. Руткит вроде. (заявка № 125123)

  1. #1
    Junior Member Репутация
    Регистрация
    27.09.2012
    Сообщений
    7
    Вес репутации
    43

    Что-то грузит внешнюю сеть. Руткит вроде.

    Всем доброго дня.
    Последние дня три пытаюсь выловить вирус в сервере 2008 sp2.
    Описание.
    Идет постоянная загрузка внешней сети. Заметил, что после того как убиваю процесс tcpsvcs.exe, либо останавливаю службу "Простые службы TCP/IP (Simple TCP/IP Services)". Загрузка сразу пропадает. В логах увидел связанные с этим процессом события, идет передача по 19 порту, на различные ip-адреса пакетов.
    Стоит антивирус Kaspersky Endpoint Security 8. Проверял на вирусы им, + грузился с Live CD, проверял Kaspersky Removal Tool, Dr.Web CureIt, Kaspersky Rescue Disk. Ничего не нашли.
    Пробовал AVZ,
    AVZ сообщает:
    Функция ntdll.dll: _fltused (1750) перехвачена, метод Code Hijack (метод не определен).

    Код руткита _fltused нейтрализван.
    После этого AVZ зависает. Запускаю заново проверку, и всё повторяется тоже самое.
    Народ помогите.
    Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"
    выполнить не могу, AVZ доходит до ункция ntdll.dll: _fltused (1750) перехвачена, метод Code Hijack (метод не определен). Код руткита _fltused нейтрализван. - зависает.
    Остальные два скрипта приложил.

    virusinfo_syscheck.zip
    hijackthis.log
    Последний раз редактировалось vitaliy13; 27.09.2012 в 11:13.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) vitaliy13, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    27.09.2012
    Сообщений
    7
    Вес репутации
    43
    У меня Server 2008 x64, поэтому первый пунк зависает.

  5. #4
    Junior Member Репутация
    Регистрация
    27.09.2012
    Сообщений
    7
    Вес репутации
    43
    Очень нужна помощь.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406


  7. Это понравилось:


  8. #6
    Junior Member Репутация
    Регистрация
    27.09.2012
    Сообщений
    7
    Вес репутации
    43
    C:\Windows\winstart.bat - точно не знаю что за батник. Наверное прошлый админ что то делал. Но он пустой (без команд внутри). На всякий случай я убрал его оттуда.
    Лог выложил.

    mbam-log-2012-10-02 (09-07-14).txt

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Удалите в MBAM всё

    Больше ничего необычного.


  10. #8
    Junior Member Репутация
    Регистрация
    27.09.2012
    Сообщений
    7
    Вес репутации
    43
    Странно, но после проверки, сегодня перестало сетку грузить. Хотя ничего не удалял.
    В MBAMе все удалил. Посмотрим что дальше будет.

  11. #9

  12. #10
    Junior Member Репутация
    Регистрация
    27.09.2012
    Сообщений
    7
    Вес репутации
    43
    Да. Похоже. Только мой без команд внутри был.
    В любом случае, прошли сутки, - полёт нормальный.

  13. #11
    Junior Member Репутация
    Регистрация
    27.09.2012
    Сообщений
    7
    Вес репутации
    43
    Думаю тему можно закрыть. Пошли четвертые сутки. Нагрузки на сеть нету. В логах событий связанных с процессом tcpsvcs и траффиком по 19 и 80 порту нет.
    Спасибо большое.

  • Уважаемый(ая) vitaliy13, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вроде бы руткит
      От prohil в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 15.05.2011, 15:29
    2. Ответов: 4
      Последнее сообщение: 20.02.2010, 19:02
    3. Руткит ...вроде бы
      От giggs в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 09:42
    4. Замучал руткит (вроде Win32 Podnuha-bj)
      От pitt в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 08:26
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:45

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00764 seconds with 20 queries