Показано с 1 по 7 из 7.

Netbeui - обращение к сайтам (заявка № 12885)

  1. #1
    Junior Member Репутация
    Регистрация
    17.08.2006
    Сообщений
    23
    Вес репутации
    38

    Exclamation Netbeui - обращение к сайтам

    Хакнули у меня некоторые сайты, решил проверить систему.
    Оказалось что хак обнаруживается как Trojan.DownLoader.33840 только DrWeb-ом. Что хак - однозначно, т.к. в страницы на сайте дописывается даунлоадер через iframe.
    В общем, неважно, вернемся к моему компу.

    Я до кучи к ДРВеб установил еще последний Outpost Firewall Pro.
    И вдруг сегодня обнаружил, что нечто лезет на тучу разных ip по udp на netbios_ns - все это блокируется аутпостом как запрет netbios-соединений.
    После обнаружения этого я вырубил все программы, оставил аутпост, и оставил комп включенным на 3 часа. Активности по netbios - ноль.

    Сканирование системы антивирусами ничего не выявляет. Но, аутпост иногда сообщает что Explorer пытался модифицировать его файлы.

    Вот пример журнала аутпоста:

    время процесс, направление, протокол, удаленный адрес, удаленный порт
    17:25:31 NETBIOS ИСХ БЛОКИРОВАНО UDP www.macromedia.com NETBIOS_NS
    17:25:27 NETBIOS ИСХ БЛОКИРОВАНО UDP 81.176.70.200 NETBIOS_NS
    17:25:22 NETBIOS ИСХ БЛОКИРОВАНО UDP 80.254.160.182 NETBIOS_NS
    17:25:18 NETBIOS ИСХ БЛОКИРОВАНО UDP 212.24.63.65 NETBIOS_NS
    17:25:13 NETBIOS ИСХ БЛОКИРОВАНО UDP 209.170.96.102 NETBIOS_NS
    17:25:08 NETBIOS ИСХ БЛОКИРОВАНО UDP 64.86.106.99 NETBIOS_NS
    17:25:04 NETBIOS ИСХ БЛОКИРОВАНО UDP 64.86.106.89 NETBIOS_NS
    17:24:59 NETBIOS ИСХ БЛОКИРОВАНО UDP 205.188.9.62 NETBIOS_NS
    17:24:54 NETBIOS ИСХ БЛОКИРОВАНО UDP 207.46.196.104 NETBIOS_NS
    17:24:49 NETBIOS ИСХ БЛОКИРОВАНО UDP 207.46.248.240 NETBIOS_NS
    17:24:45 NETBIOS ИСХ БЛОКИРОВАНО UDP 217.73.202.4 NETBIOS_NS
    17:24:40 NETBIOS ИСХ БЛОКИРОВАНО UDP 217.73.202.6 NETBIOS_NS
    17:24:34 NETBIOS ИСХ БЛОКИРОВАНО UDP 203.223.158.12 NETBIOS_NS
    17:24:26 NETBIOS ИСХ БЛОКИРОВАНО UDP 69.28.156.250 NETBIOS_NS

    За 8 минут обращения были примерно к 30-ти разным IP. Аутпост их не опознает (кроме процитированной макромедии), и если на конкретный ip дать tracert, то имя также не показывается, и на двух предпоследних хопах выводятся звездочки.

    кстати, вот сейчас опять похожие ip полезли уже от system, точно также - udp, netbios_ns

    Что интересно - за день я наблюдаю три таких "пакета" обращений на разные ip, все в течение 7-8 минут с hh:20 минут до hh:27 минут - в 13, 17 и 23 часа.
    Я вот сейчас подумал - возможно это как-то связано с перезагрузками компа... Т.е. нечто запускается при старте?

    логи как положено прицеплены (кроме virusinfo_cure.zip, который у меня 1.2 мб и не пропускается форумом).

    Вопрос - что это может быть?
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Не хватает файла virusinfo_syscure.zip

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт..
    Код:
    begin
     QuarantineFile('D:\WINDOWS\system32\cpwmon2k.dll','');
     QuarantineFile('D:\TEMP\YAJC.exe','');     
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    нужен третий лог ... который virusinfo_syscure

  5. #4
    Junior Member Репутация
    Регистрация
    17.08.2006
    Сообщений
    23
    Вес репутации
    38
    я уже 4 или пять раз проверял - согласно правил пункт 8, выполнение скрипта "Скрипт лечения/карантина...." в AVZ скачанной мной позавчера с оригинального сайта, производит только файл
    virusinfo_cure.zip
    и больше ничего. Никаких файлов virusinfo_syscure.* не наблюдаю, нигде.
    avz 4.27.0.1. Скачивал обновления первого октября.

    Добавлено через 27 минут

    to V_Bond:
    почему-то BootCleaner некорректно записывает путь к файлам, и получается нечто вида \??\D:\TEMP\YAJC.exe.
    соответственно, в архив эти файлы не попадают.
    я взял их из карантина от предыдущего скана, они идентичны.
    файл virus.zip закачал.
    071002_173828_virus_4702c8641e97a.zip

    p.s. возможно, yajc.exe - от RootkitRevealer Руссиновича. я тут по ходу пробую все, что можно...
    Последний раз редактировалось kdv; 03.10.2007 в 02:39. Причина: Добавлено

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Присланные файлы чистые.
    Если лог syscure так и не получается, сделайте вот такой:
    http://virusinfo.info/showthread.php?t=10387
    только в обычном режиме.
    I am not young enough to know everything...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Вполне возможно, что на компьютере уже ничего нет вредоносного. Троян мог собрать все пароли и самоликвидироваться. Так что, вам следует уже сейчас поменять все пароли: почта, ICQ, доступ к сайтам, ftp и т.д.

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,551
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) kdv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Обращение к winspool.drv
      От Eragog в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 09.10.2011, 18:27
    2. Постоянное обращение к вредоносным сайтам
      От godglory в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.08.2010, 09:41
    3. Постоянное обращение к HDD!
      От dragon772 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.12.2009, 18:37
    4. Общее обращение-Важно
      От мученик в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 18.12.2009, 02:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00734 seconds with 23 queries