-
Junior Member
- Вес репутации
- 42
DNS.exe - сервер ДНС сжирает трафик и пытаеться коннектиться к дискредетированным адресам.
ДНС сервис при включении сжирает весь траффик. Если в это время включена malwarebytes то он блокирует доступы к адресам 95.211.136.112 и 77.74.36.229. Касперски, симантек ендпойнт и malware в safe mode не помогают.
Помогите, пожалуйста
hijackthis.log
virusinfo_syscheck.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) yael, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Отключите на время дальнейших проверок все антивирусы, не запускайте в это время утилиты Kaspersky Virus Removal Tool, Dr.Web CureIt! и подобные.
url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url].
Сделайте логи RSIT.
-
-
Junior Member
- Вес репутации
- 42
Проблемы проявились пару дней назад. Если остановить сервис DNS, то все ок (или на вид так кажется)
rsit.zip
uvs.rar
-
Если 38.99.70.2 и 38.99.70.6 не являются DNS-серверами Вашего провайдера - Пофиксите в HijackThis:
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDE897B3-21D0-480D-8E08-032B02545F7F}: NameServer = 38.99.70.2,38.99.70.6
либо пропишите правильные адреса.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Acrobat/Reader и Adobe Flash Player.
Рекомендую также удалить MBAM из-за его параноидальности, а также обновить другие компоненты, через которые возможен взлом: IIS, MySQL Server.
После обновлений проверьте, что с проблемой.
-
-
Junior Member
- Вес репутации
- 42
1. Это name servers провайдера, поэтому ничего не стал делать (верно?)
2. Скрипт написал "Поисак критических уехвимостей Часто используемые уезвимости не обнаружены"
Ситуация с DNS ервером прежняя - т.е. атакует другие компьютеры, когда включен
-
Так, это сервер на колокейшене в Заокеаниии, а Вы им рулите от себя по RDP и ftp, так? Это чтобы понять , что его не взломали.
На нём стоит в т. ч. почтовый сервер, что подразумевает активный трафик по DNS, особенно при отсылке писем. А уж если через него спам идёт - то ещё более активный. Такой вариант исключён?
Относительно предупреждений MBAM - он блочит даже вполне безобидные адреса и заострять внимание на его алертах я бы не стал.
атакует другие компьютеры
Можно поподробнее, в чём это выражается? Если есть статистика трафика по портам - было бы полезно. Скриншот, а лучше логи, собранные с помощью TCPView тоже сгодятся.
Сделайте полный образ автозапуска при запущенном сервере DNS.
-
-
Junior Member
- Вес репутации
- 42
RDP и KVM. У меня первая мысль была про почтовый сервер, но нет, с ним все ок. И даже если мэйл сервисы отключить - не помогает. Кроме того, я смотрела логи мэйл сервера - там все чисто
По TCP статистике, я заблокировала следующие адреса несколько часов назад как временную меру:
108.174.61.21,75.64.218.105,65.30.243,112.204.183. 249,64.64.4.29,192.95.31.78,173.162.122.37,87.97.2 12.193,144.118.197.55
И сервер пришел в норму, т.е. траффик упал со 100 Мбс (предельной нагрузке) до 5Мбс
TCPView: при разблокированных упомянутых адресах
tcpview.rar
Загрузить лог UVS не получаеться почему то, попробую в следующем сообщении
- - - Добавлено - - -
Нет, не полчается. И вылазит подсказка в неправильной кодировке, но скопировать ее невозможно и дешифровать значит тоже.
В чем может быть проблема?
- - - Добавлено - - -
Скриншот:
virusinfoupload.png
-
Образ uVS выложите на rghost.ru.
Что касается самой проблемы, решите - а нужен ли вообще там DNS-сервер, от кого он должен обрабатывать запросы.
-
-
Junior Member
- Вес репутации
- 42
http://rghost.ru/45201724
DNS сервер нужен. Там прописано около 50 зон адресов сайтов/сервисов на 4 серверах. Обрабатываает он запросы как и любой публичный DNS сервер от любых компьютеров, ищущих адрес в этих 50 зонах
-
По образу каких-либо проблем не видно. Установите хотфикс, хуже точно не будет.
На DNS-сервере рекурсия включена? На почтовом сервере какие виды спам-фильтров включены - DNSBL, RHSBL?
-
-
Junior Member
- Вес репутации
- 42
Хотфикс не помог,рекурсия включена, но ее отключение никак не помогает - уже опробовано. Спам фильтры:
Score recognition
SURBL
SPF
Razor2
DKIM
RBL
Compact Bayesian database
Blacklists
Greylisting
Learning rules