Приветствую, проблема началась с того, что стел медленно работать инет, долго косил на провайдера (там действительно были свои проблемы), но вот проблемы решились, а скорость как была низкой так и не повысилась.
Закралось подозрение на вирус.
Сейчас стоит антивирус SEP (Semantec Endpoint Protection) и переодически ругается вот такими сообщениями:
Traffic from IP address 95.209.106.35 is blocked from 16.03.2009 21:30:23 to 16.03.2009 21:40:23.
[SID: 20386] MS RPCSS Attack (2) detected.
Traffic has been blocked from this application: C:\WINDOWS\system32\svchost.exe
Traffic from IP address 95.104.48.163 is blocked from 16.03.2009 16:08:32 to 16.03.2009 16:18:32.
[SID: 20615] MSRPC Malicious LSASS DS Request BO (1) detected.
Traffic has been blocked from this application: C:\WINDOWS\system32\ntoskrnl.exe
Почитал по форумам (в том числе и тут) что под обоими этими процессами могут гнездиться всякого рода неприятные вирусы. Делал проверку полностью SEP-ом, drWeb'ом. Хотел поставить тестовую версию последнего касперского, но он сначала ругнулся на удаленный давно avast (который в реестре наследил и не почистил во время удаления), потом ругнулся что принципиально не работает с SEP, поэтому провериться последней версией касперского не могу, проверялся CureIt в безопасном режиме.
Стал проверять сетевую активность утилитой Tcpview.exe в логе смутили две строчки с ip на которые как раз ругался SEP /
Строки вот (весь лог лежит во вложении под именем TCPWiew_log):
svchost.exe:1480 TCP "мой ip" 95.209.106.35:4091 ESTABLISHED
Skype.exe:3012 TCP "мой ip":3341 68.84.220.26:63042 ESTABLISHED
qip.exe:4032 TCP "мой ip":3075 64.12.25.105:5190 ESTABLISHED
qip.exe:4032 TCP "мой ip":3556 64.12.30.48:5190 ESTABLISHED
При этом мне несколько раз уже говорили что от меня спам идет со ссылкой на вирус, но отловить я его все никак не могу до сих пор.
Как и просили выкладываю необходимые данные:
1. ссылочка на страницу автоматического анализа http://gsi.kaspersky.fr/read.php?file=926e...71464624b31f7da
2. сам файл GetSystemInfo_USER_Administrator_2009_03_16_21_50_ 54.zip во вложении.
3. лог AVZ4 virusinfo_syscure.zip - во вложении
4. лог AVZ4 virusinfo_syscheck.zip - во вложении
5. hijackthis.log - во вложении
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
В логах ничего подозрительного. Обновите базы Антивируса и проверьте систему.
Обновите Адоби Ридер.
Установите Сервис Пак 3 - возможно потребуется повторная активация системы - и последующие патчи.
Rene-gad, то есть получается что у меня=то вирусов нет, но вот возможно у владельцев этих ip что ко мне стучатся есть вирусы, атаки которых и блокирует SEP. Я правильно понял?
Traffic from IP address 95.209.106.35 is blocked from 16.03.2009 21:30:23 to 16.03.2009 21:40:23.
[SID: 20386] MS RPCSS Attack (2) detected.
Traffic has been blocked from this application: C:\WINDOWS\system32\svchost.exe
Traffic from IP address 95.104.48.163 is blocked from 16.03.2009 16:08:32 to 16.03.2009 16:18:32.
[SID: 20615] MSRPC Malicious LSASS DS Request BO (1) detected.
Traffic has been blocked from this application: C:\WINDOWS\system32\ntoskrnl.exe
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
MS RPCSS Attack (2) detected - вирусы атакуют?
