Показано с 1 по 15 из 15.

Большой исходящий трафик на различные неизвестные хосты (заявка № 192125)

  1. #1
    Junior Member Репутация
    Регистрация
    20.07.2015
    Сообщений
    11
    Вес репутации
    32

    Большой исходящий трафик на различные неизвестные хосты

    Обнаружил при помощи программки Glass Wire (брэндмауэр от бесплатного антивируса 360 total security) большой исходящий трафик (по нескольку Gb за сутки с компьютера на неизвестные мне хосты. Примеры хостов: s18374473.onlinehome-server.info, SOL-FTTB.99.217.118.46.sovam.net.ua, n178-18-13-h145.gw-net.metromax.ru и прочие:
    новый-1.jpg
    Я пытался блокировать конкретные хосты через брэндмауэр windows. С блокированных хостов трафик исчезал, но возникали все новые хосты на которые постоянно генерируется исходящий трафик.

    Выполнил ваши инструкции:
    1.Сделал полную проверку компьютера антивирусом 360 total sec
    2. Сделал проверку инструментом Касперского
    Проблема осталась
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,286
    Вес репутации
    378
    Уважаемый(ая) vvkokoev, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    AVZ запущен из терминальной сессии (RDP-Tcp#0)
    Здравствуйте,

    Переделайте логи не из терминальной сессии.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  5. #4
    Junior Member Репутация
    Регистрация
    20.07.2015
    Сообщений
    11
    Вес репутации
    32
    Здравствуйте!
    Выполнил не из терминальной сессии.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Здравствуйте,

    AVZ выполнить следующий скрипт.
    Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
    Код:
    begin
     QuarantineFile('c:\program files (x86)\tweak marketing\advanced direct remailer\adr.exe','');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    BC_ImportQuarantineList;
     ExecuteRepair(1);
    end.
    Перезагрузите сервер вручную.

    - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
    Последний раз редактировалось mike 1; 04.11.2015 в 14:00. Причина: RebootWindows(false);
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  7. #6
    Junior Member Репутация
    Регистрация
    20.07.2015
    Сообщений
    11
    Вес репутации
    32
    Все выполнено по Вашей инструкции.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      HKU\S-1-5-21-363796185-3904313707-2134927466-1104\...\Policies\Explorer: [] 
      ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
      HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
      Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
      Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
      CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - <no Path/update_url>
      CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
      CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
      CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
      2015-11-03 14:36 - 2015-11-03 14:36 - 00673312 _____ (MediaGet LLC) C:\Users\Вячеслав\Downloads\u0421u043au0430u0447u0430u0442u044c-u0431u0435u04_id3697541ids2s.exe
      Task: {9667FD56-9DD8-4E6D-BC16-0253E3195F04} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe [2013-02-28] (Systweak Inc) <==== ATTENTION
      Task: {C09AE06B-8E29-4FEE-B9B5-8C1B7A30A582} - \nethost task -> No File <==== ATTENTION
      Task: {CDA1A82A-2DDD-4B90-8998-ABCE88B97DA2} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe [2013-02-28] (Systweak Inc) <==== ATTENTION
      Task: {D7C3527F-49A2-4B8F-8307-1DD0787DC191} - \3CXAbyssWebserver Recycle -> No File <==== ATTENTION
      AlternateDataStreams: C:\ProgramData\TEMP:373E1720
      AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
      AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
      AlternateDataStreams: C:\ProgramData\TEMP:A1364FD1
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:373E1720
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:A1364FD1
      EmptyTemp:
      Reboot:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
    • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.


    Обратите внимание на следующую ошибку в системных событиях:
    Error: (11/04/2015 08:12:58 PM) (Source: Ntfs) (EventID: 55) (User: )
    Description: Структура файловой системы на диске повреждена и непригодна к использованию.
    Запустите программу CHKDSK на томе \Device\HarddiskVolumeShadowCopy4.
    Рекомендуется выполнить проверку на ошибки файловой системы.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  9. #8
    Junior Member Репутация
    Регистрация
    20.07.2015
    Сообщений
    11
    Вес репутации
    32
    Доброе утро.
    Выполнил Ваши рекомендации. Жду дальнейших инструкций.
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Что с проблемой?
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  11. Это понравилось:


  12. #10
    Junior Member Репутация
    Регистрация
    20.07.2015
    Сообщений
    11
    Вес репутации
    32
    Здравствуйте! Беда ушла. Большое спасибо. Хорошо, что есть такой хороший проект virusinfo.
    Из-за чего был такой трафик на компьютере какие меры предосторожности принять на будущее?

    С большим уважением,
    Вячеслав

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Цитата Сообщение от vvkokoev Посмотреть сообщение
    Из-за чего был такой трафик на компьютерев
    Данное поведение возможно из-за ранее присутствующего у Вас на ПК остатки вредоносного ПО по типу Adware.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  14. #12
    Junior Member Репутация
    Регистрация
    20.07.2015
    Сообщений
    11
    Вес репутации
    32
    Сегодня проблема вернулась. Снова травик исхлдящий на неизвестный хост. Скрин в приложении.
    Изображения Изображения

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Здравствуйте,

    Для того, чтобы исключить возможность легального трафика выполните следующие инструкции.

    На момент воспроизведения проблемы пожалуйста выполните следующую команду в командной строке (cmd.exe)
    Код:
    netstat -aonp TCP | findstr "31.186.144.56:80"
    ,где 31.186.144.56 - целевой ip-адрес исходящего трафика.

    Далее значение PID из предыдущего вывода(последнее значение в результата) укажите вместо "PID" в следующей команде:
    Код:
    tasklist | findstr /c:"PID"
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  16. #14
    Junior Member Репутация
    Регистрация
    20.07.2015
    Сообщений
    11
    Вес репутации
    32
    Здравствуйте!
    Выполнил как Вы сказали. Вот что получилось. Скрин прикреплен.
    Еще одно дополнение: в момент активизации несанкционированного исходящего трафика происходит прерывание сеанса подключения к компьютеру через удаленный рабочий стол: т.е. связь то прерывается не надолго то снова восстанавливается самопроизвольно. Что делать, как устранить?
    Изображения Изображения
    • Тип файла: jpg cmd.jpg (38.3 Кб, 5 просмотров)

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Согласно, указанному скрину ip:94.185.86.2 подключен к ПК по протоколу RDP (3389/tcp).

    Рекомендую сменить все пароль, если пароли не установлены, то установить их, так как по сей видимости если Вам этот ip незнаком, то выполняется несанкционированное подключение к ПК.
    Также если между компьютером и интернетом стоит роутер (маршрутизатор) сменить там пароли и пересмотреть настройки.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

Похожие темы

  1. Большой исходящий трафик.
    От Сергей Ребров в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 28.08.2012, 16:42
  2. Большой исходящий трафик
    От dentrepel в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 27.11.2010, 08:10
  3. Большой исходящий трафик
    От eugen545 в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 22.02.2009, 07:51
  4. большой исходящий трафик
    От tol в разделе Помогите!
    Ответов: 13
    Последнее сообщение: 22.02.2009, 03:53
  5. Большой исходящии трафик.
    От kires в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 23.04.2008, 19:32

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01317 seconds with 20 queries