-
Junior Member
- Вес репутации
- 43
Что-то грузит внешнюю сеть. Руткит вроде.
Всем доброго дня.
Последние дня три пытаюсь выловить вирус в сервере 2008 sp2.
Описание.
Идет постоянная загрузка внешней сети. Заметил, что после того как убиваю процесс tcpsvcs.exe, либо останавливаю службу "Простые службы TCP/IP (Simple TCP/IP Services)". Загрузка сразу пропадает. В логах увидел связанные с этим процессом события, идет передача по 19 порту, на различные ip-адреса пакетов.
Стоит антивирус Kaspersky Endpoint Security 8. Проверял на вирусы им, + грузился с Live CD, проверял Kaspersky Removal Tool, Dr.Web CureIt, Kaspersky Rescue Disk. Ничего не нашли.
Пробовал AVZ,
AVZ сообщает:
Функция ntdll.dll: _fltused (1750) перехвачена, метод Code Hijack (метод не определен).
Код руткита _fltused нейтрализван.
После этого AVZ зависает. Запускаю заново проверку, и всё повторяется тоже самое.
Народ помогите.
Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"
выполнить не могу, AVZ доходит до ункция ntdll.dll: _fltused (1750) перехвачена, метод Code Hijack (метод не определен). Код руткита _fltused нейтрализван. - зависает.
Остальные два скрипта приложил.
virusinfo_syscheck.zip
hijackthis.log
Последний раз редактировалось vitaliy13; 27.09.2012 в 11:13.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) vitaliy13, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 43
У меня Server 2008 x64, поэтому первый пунк зависает.
-
Junior Member
- Вес репутации
- 43
-
-
-
Junior Member
- Вес репутации
- 43
C:\Windows\winstart.bat - точно не знаю что за батник. Наверное прошлый админ что то делал. Но он пустой (без команд внутри). На всякий случай я убрал его оттуда.
Лог выложил.
mbam-log-2012-10-02 (09-07-14).txt
-
Удалите в MBAM всё
Больше ничего необычного.
-
-
Junior Member
- Вес репутации
- 43
Странно, но после проверки, сегодня перестало сетку грузить. Хотя ничего не удалял.
В MBAMе все удалил. Посмотрим что дальше будет.
-
Сообщение от
Techno
C:\Windows\winstart.bat - Ваше?
http://www.securelist.com/ru/descriptions/old18504
-
-
Junior Member
- Вес репутации
- 43
Да. Похоже. Только мой без команд внутри был.
В любом случае, прошли сутки, - полёт нормальный.
-
Junior Member
- Вес репутации
- 43
Думаю тему можно закрыть. Пошли четвертые сутки. Нагрузки на сеть нету. В логах событий связанных с процессом tcpsvcs и траффиком по 19 и 80 порту нет.
Спасибо большое.