-
Junior Member
- Вес репутации
- 60
Непонятная загрузка !
Имеем Server 2003 ЕЕ,с него идет постоянная загрузка/выгрузка данных в Инет.
При этом proxy сервер просто подвисает от таких запросов.
Откуда берется такая активность непонятно.
Но после блокировки одного сайта,теперь пытается обмениваться данными с другим.Хотя на самом PC никто не работает.
1. был адрес российской телекоммуникационной компании (89.249.22.163)
2. А сейчас неизвестной американской фирмы (91.202.63.43).
При этом непонятно,откуда берется такая сетевая активность.
Из антивирусов установлен AVAST SE.
Последний раз редактировалось dragon772; 22.07.2008 в 15:52.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
вот твой зверь:
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\..\svchost.exe
Сейчас посмотрю по логам АВЗ, сделаю скриптик.
Добавлено через 7 минут
Выполнить скрипт, нужна будет перезагрузка:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\lcbaefdcufnb.sys','');
//DeleteService('ulaakptbswbnx');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
DeleteService('msupdate');
DeleteFile('c:\windows\system32\..\svchost.exe');
//DeleteFile('C:\WINDOWS\system32\drivers\lcbaefdcufnb.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Один подозр. файл я взял только в карантин, так что его обязательно загружать.
После этого сделать новые логи
Последний раз редактировалось PavelA; 21.07.2008 в 13:42.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Спасибо,вроде помогло!!
-
В карантин файлик lcbaefdcufnb.sys попал?
Надо вообще весь карантин загрузить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Карантин отправил!
Файл сохранён как 080721_084517_virus_488492edc0674.zip
Размер файла 63029
MD5 f12e10c9915b96d94894893169c18ad7
Последний раз редактировалось dragon772; 21.07.2008 в 17:53.
-
Вот это для прочистки выполни:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ulaakptbswbnx');
DeleteFile('C:\WINDOWS\system32\drivers\lcbaefdcufnb.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделай новые логи с п.10 Правил
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось dragon772; 23.07.2008 в 17:00.
-
Попробуем вот так его удалить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('ulaakptbswbnx');
BC_Activate;
RebootWindows(true);
end.
Можно конечно попробовать из командной строки: sc delete ulaakptbswbnx
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Выполнил скрипт.Новые логи...
Последний раз редактировалось dragon772; 23.07.2008 в 17:00.
-
-