Показано с 1 по 16 из 16.

Сервер качает трафик исходящий и входящий (заявка № 20701)

  1. #1
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    20
    Вес репутации
    59

    Thumbs up Сервер качает трафик исходящий и входящий

    Symantec сканирование ничего не дает, утилита DrWeb CureIT ничего не нашла. При подключение к интернету начинает чего то скачивать или отсылать

    Добавлено через 9 минут

    http://virusinfo.ifolder.ru/5953176
    Последний раз редактировалось Khedin; 31.03.2008 в 10:21. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор. Имейте в виду, что система должна быть перезагружена в процессе выполнения скрипта.
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\winupd.exe');
     QuarantineFile('c:\windows\system32\winupd.exe','');
     QuarantineFile('c:\windows\system32\winlogon.exe','');
     DeleteFile('c:\windows\system32\winupd.exe');
     BC_DeleteFile('c:\windows\system32\winupd.exe');
    BC_ImportquarantineList;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, загрузите карантин по ссылке http://virusinfo.info/upload_virus.php?tid=20701 , как написано в прил.3 правил, скачайте версию 2.02 Hijackthis по ссылке из правил и повторите логи, начиная с п. 10 правил.

  4. #3
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    20
    Вес репутации
    59
    новые логи
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    20
    Вес репутации
    59
    И еще после выполнения скрипта комп постоянно перезагружается, пришлось загрузить последнию удачную конфигурацию.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Вы лог AVZ делали уже после загрузки последней удачной конфигурации? Если да, то сейчас паразитный траффик идет?

  7. #6
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    20
    Вес репутации
    59
    Все работает нормально, огромное спасибо за помощь!

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    c:\windows\system32\winupd.exe - троянская программа Backdoor.Win32.SdBot.dkc (по классификации Касперского). Почему спрашивал про то, когда делали лог AVZ: в логе AVZ winupd.exe не видно, в логе hijackthis остались ключи. На всякий случай, пофиксите с помощью hijackthis:
    Код:
    O4 - HKLM\..\Run: [winupd] winupd.exe
    O4 - HKLM\..\RunServices: [winupd] winupd.exe

  10. #9
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    20
    Вес репутации
    59
    Пофиксил, новые логи
    Вложения Вложения

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Пофиксить

    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
    Больше ничего подозрительного нет.

  12. #11
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    20
    Вес репутации
    59
    пофиксел, сервер перестал загружаться т.е. виндос 2003 загружается запрашивает пароль ввожу пароль начинается запуск и тут же в окошке появляется сохранения параметров как при завершение работы и заново запрашивает пароль. доступ к компу получить не получается , что делать ?

    Добавлено через 11 минут

    пробовали загружать в безопасном режиме и последнюю удачную конфигурацию, нечего не получилось результат тот же самый - заходит и выходит
    Последний раз редактировалось Khedin; 02.04.2008 в 12:00. Причина: Добавлено

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Когда сервер загрузится до диалога запроса пароля, он на пинги отвечает и сетевой доступ к нему есть ? Если да, то можно попытаться ... Если нет, то тогда загрузка с LiveCD любого типа, содержащего редактор реестра - и из него восстановить ключик, отвечающий за запуск userinit.exe:
    ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в нем параметр с именем Userinit типа REG_SZ, значение C:\WINDOWS\system32\userinit.exe, (именно так, с запятой на хвосте)

  14. #13
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    20
    Вес репутации
    59
    Доступ к серверу есть через расшаренные папки. Как можно восстановить реестр?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    На одном из компьютеров в локальной сети запустите regedit.exe от имени пользователя с правами админа на сервере.
    Меню Файл-Подключить сетевой Реестр
    Введите имя сервера. Подключитесь.
    Исправьте соответствующий ключ, как написал Олег.

  16. #15
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    20
    Вес репутации
    59
    Через другой комп подключился к серверу исправил реестр, все заработало, спасибо.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\winupd.exe - Backdoor.Win32.SdBot.dkc (DrWEB: BackDoor.IRC.Sdbot.3256)


  • Уважаемый(ая) Khedin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Исходящий трафик превышает входящий
      От Sasho в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.06.2011, 13:44
    2. входящий/исходящий трафик
      От bAjDa в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 01.07.2009, 18:42
    3. Неизвестный входящий и исходящий трафик
      От bublenter в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 04:00
    4. Ответов: 10
      Последнее сообщение: 22.02.2009, 02:42
    5. входящий и исходящий трафик
      От вит в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.01.2007, 17:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01539 seconds with 20 queries