ДНС сервис при включении сжирает весь траффик. Если в это время включена malwarebytes то он блокирует доступы к адресам 95.211.136.112 и 77.74.36.229. Касперски, симантек ендпойнт и malware в safe mode не помогают.
Помогите, пожалуйста
hijackthis.log
virusinfo_syscheck.zip
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) yael, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Отключите на время дальнейших проверок все антивирусы, не запускайте в это время утилиты Kaspersky Virus Removal Tool, Dr.Web CureIt! и подобные.
url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url].
Сделайте логи RSIT.
WBR,
Vadim
Если 38.99.70.2 и 38.99.70.6 не являются DNS-серверами Вашего провайдера - Пофиксите в HijackThis:либо пропишите правильные адреса.Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{CDE897B3-21D0-480D-8E08-032B02545F7F}: NameServer = 38.99.70.2,38.99.70.6
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Рекомендую также удалить MBAM из-за его параноидальности, а также обновить другие компоненты, через которые возможен взлом: IIS, MySQL Server.
После обновлений проверьте, что с проблемой.
WBR,
Vadim
1. Это name servers провайдера, поэтому ничего не стал делать (верно?)
2. Скрипт написал "Поисак критических уехвимостей Часто используемые уезвимости не обнаружены"
Ситуация с DNS ервером прежняя - т.е. атакует другие компьютеры, когда включен
Так, это сервер на колокейшене в Заокеаниии, а Вы им рулите от себя по RDP и ftp, так? Это чтобы понять , что его не взломали.
На нём стоит в т. ч. почтовый сервер, что подразумевает активный трафик по DNS, особенно при отсылке писем. А уж если через него спам идёт - то ещё более активный. Такой вариант исключён?
Относительно предупреждений MBAM - он блочит даже вполне безобидные адреса и заострять внимание на его алертах я бы не стал.
Можно поподробнее, в чём это выражается? Если есть статистика трафика по портам - было бы полезно. Скриншот, а лучше логи, собранные с помощью TCPView тоже сгодятся.атакует другие компьютеры
Сделайте полный образ автозапуска при запущенном сервере DNS.
WBR,
Vadim
RDP и KVM. У меня первая мысль была про почтовый сервер, но нет, с ним все ок. И даже если мэйл сервисы отключить - не помогает. Кроме того, я смотрела логи мэйл сервера - там все чисто
По TCP статистике, я заблокировала следующие адреса несколько часов назад как временную меру:
108.174.61.21,75.64.218.105,65.30.243,112.204.183. 249,64.64.4.29,192.95.31.78,173.162.122.37,87.97.2 12.193,144.118.197.55
И сервер пришел в норму, т.е. траффик упал со 100 Мбс (предельной нагрузке) до 5Мбс
TCPView: при разблокированных упомянутых адресах
tcpview.rar
Загрузить лог UVS не получаеться почему то, попробую в следующем сообщении
- - - Добавлено - - -
Нет, не полчается. И вылазит подсказка в неправильной кодировке, но скопировать ее невозможно и дешифровать значит тоже.
В чем может быть проблема?
- - - Добавлено - - -
Скриншот:
virusinfoupload.png
Образ uVS выложите на rghost.ru.
Что касается самой проблемы, решите - а нужен ли вообще там DNS-сервер, от кого он должен обрабатывать запросы.
WBR,
Vadim
http://rghost.ru/45201724
DNS сервер нужен. Там прописано около 50 зон адресов сайтов/сервисов на 4 серверах. Обрабатываает он запросы как и любой публичный DNS сервер от любых компьютеров, ищущих адрес в этих 50 зонах
По образу каких-либо проблем не видно. Установите хотфикс, хуже точно не будет.
На DNS-сервере рекурсия включена? На почтовом сервере какие виды спам-фильтров включены - DNSBL, RHSBL?
WBR,
Vadim
Хотфикс не помог,рекурсия включена, но ее отключение никак не помогает - уже опробовано. Спам фильтры:
Score recognition
SURBL
SPF
Razor2
DKIM
RBL
Compact Bayesian database
Blacklists
Greylisting
Learning rules
Уважаемый(ая) yael, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
