вирус , не определяется ни одной антивирусной программой , не виден в процессах
Внимание - проблема с вирусом , огромная сетевая активность.
Есть локальная сеть с выходом в интернет через сервер по ADSL с раздачей через прокси TrafficInspector.
У всех компьютеров нормально , но у одного из них появилась сетевая активность - это видно и через TrafficInspector на сервере и через сетевое подключение на самом компьютере . Компьютер был проверен антивирусами : NOD32 , DrWEB , Panda , BitDefender , RemoveIt , Kaspersky и т.д.
НИ одна из них ничего не видит !!!
Более того - смотрю на компьютере при помощи TCPView , taskinfo, commview - тишина - все молчат и ничего не показывают типа нет сетевых подключений , хотя сетевое подключение в нижнем правом углу не затыкается и в trafficinspectore показываются все подключения данного компьютера и адреса !
В приложенных скринах вся информация
1.jpg - taskinfo
2.jpg - tcpview
3.jpg - окно Trafficinspectora с сервера.
Подскажите пожалуйста - какую программу монитор типа taskinfo использовать - чтобы отследить какой процесс и по какому порту все это делает , мне срочно нужно отловить эту нечисть , переустановку винды и установку экрана на компьютер просьба не предлагать.
Очень надеюсь на ВАШУ помошь !
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
ВАУ - спасибо большое за мгновенные ответы !
Файла ntos.exe нету , я его уже давно отследил и удалил.
скрипт "Скрипт сбора информации для раздела "Помогите!" virusinfo.info во вложении.
скрипт Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info сделать неудается - система через какое-то время проверки скриптом впадает в синий экран смерти - пробовал несколько раз - одно и тоже.
Кстати даже при синем экране идет сетевая активность - видно по индикатору на сетевой карте и на сервере по TrafficInspectoru !
файла _svchost - тоже не оказалось , видно был ранее и я его уже удалил.
Нашел только файл userinit , удалил его и вроде все стало ОК !!!
Numb - V_Bond - SuperBrat - всем гигантское спасибо !!!
Теперь очень хочеться узнать что это за вирус - я его кинул во вложенный файл - пароль 123 - если нельзя выкладывать - удалите пожалуйста - если можно - скажите что за зверь !!!
Последний раз редактировалось Shu_b; 19.10.2007 в 16:02.
Нашел только файл userinit , удалил его и вроде все стало ОК !!!
Теперь очень хочеться узнать что это за вирус - я его кинул во вложенный файл - пароль 123 - если нельзя выкладывать - удалите пожалуйста - если можно - скажите что за зверь !!!
Это не вирус. Вы удалили один из файлов Windows.
Опыт — это слово, которым люди называют свои ошибки.
Спасибо за советы - завтра продолжим , так как сегодня рабочий день закончился !
Кстати потратил полных два дня - даже обидно что не смог победить - раньше всегда разбирался сам - даже когда ни один антивирус не находил - искал через TASKINFO процессы , DLL ки и т.д. а на этот раз ни одна программа не показывает об активности какого либо процесса и меня это очень сильно смущает !!! А трафик все прет и прет !!!
из всех советов проделал это
профиксил
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O23 - Service: Microsoft Internet Explorer - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)
Файла 'Fni48.sys' нет в системе , файл psh_svc.exe стоит на всех компах - это служба Acronis.
скрипт Скрипт сбора информации для раздела "Помогите!" virusinfo - выполняется нормально
скрипт - Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo - удалось сделать только в безопасном режиме , в обычном режиме вызывает через какое то время синий экран.
Да забыл - после перезагрузки из безопасного режима в обычный - вылетает табличка - система восстановлена после серьезной ошибки - хотя я отключил восстановление системы
Добавлено через 6 минут
вот еще на сервере вижу активность с данного компьютера к адресу 208.72.169.136 TCP 4099
Последний раз редактировалось acronis2000; 22.10.2007 в 06:30.
Причина: Добавлено
Да забыл - после перезагрузки из безопасного режима в обычный - вылетает табличка - система восстановлена после серьезной ошибки - хотя я отключил восстановление системы
Это не связано, "восстановление системы" и "система восстановлена" - разные вещи.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: