Показано с 1 по 10 из 10.

Несанкционированное движение трафика (заявка № 42344)

  1. #1
    Junior Member Репутация
    Регистрация
    11.10.2008
    Сообщений
    10
    Вес репутации
    30

    Question Несанкционированное движение трафика

    Здравствуйте.

    При подключении к Интернету начинается несанкционированная отправка пакетов в сеть. Отток достигает 20 Кб в минуту, при том приток идет от случая к случаю: когда равнозначный, а когда и в 5-10 раз меньше. Движение трафика происходит постоянно с перерывами ~ в 5 секунд. При отключении локальной сети трафик моментально прекращается.
    Ситуация себя проявила относительно недавно (не более 3-х месяцев, точнее к сожалению не могу сказать). До этого момента подобного ничего не было. Фаервол в EsetSS 3.0 ничего необычного не показывает. Ощущение создается такое, что находишься "под колпаком". Больше всего беспокоит конфиденциальная информация.

    Прошу Вас, посмотрите что не так. Проверку с помощью NOD32 и AVPTool выполнил.
    Спасибо.

    P.S.: не знаю нужно ли ... у меня установлен Microsoft Kernel-Mode Driver Framework Feature PacK, идущий c мышью Logitech, но он установлен раньше, чем проявилась проблема и работает нормально.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    -Пофиксите абсолютно все О15-записи. Зона должна содержать только адреса, которые действительно доверенные, т.е. - никаких

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\help\csrss.exe');
     QuarantineFile('c:\windows\help\csrss.exe','');
     DeleteFile('c:\windows\help\csrss.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    11.10.2008
    Сообщений
    10
    Вес репутации
    30
    Карантин переслал. Логи повторил.
    Спасибо за отзыв. Скажите, а восстановить доверенные зоны можно потом автоматом или лучше вручную повозится?

    Извининяюсь за назойливость, а как там логи? Еще момент... Я около месяца как скачал один патч, на который NOD32 ругался, что зловред какой-то. Проверял он-лайн сканерами -кто как; передал в лабораторию Касперского -проверили и ответили, что чисто. Я взял и установил патч. Может вы проверите?
    P.S.: кстати сегодня трафик идет, но заменто меньше.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 24.03.2009 в 13:53.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Подозрительные файлы закачивать по правилам.

    установите Сервис Пак 3 - может потребовать активации - и последующие патчи.

    Сейчас в логах ничего подозрительного.

  6. #5
    Junior Member Репутация
    Регистрация
    11.10.2008
    Сообщений
    10
    Вес репутации
    30
    Проверьте файл пожалуста. NOD32 блокировал, а отправил в лабораторию Касперского, там сказали, что чисто. Недавно файл установил в систему. Вам закачал подозрительный патч через ссылку наверху (карантин).

    Прошу прощения, правила недопонял: думал, что через карантин идут только те, что Вы отмечаете, потому и пароль поставил.

    Спасибо за оказанную помощь!

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от Lesmo Посмотреть сообщение
    а отправил в лабораторию Касперского, там сказали, что чисто.
    Когда это было? Результаты на ВТ очень обнадеживающие:

    a-squared 4.0.0.101 2009.03.24 Trojan.Zlob!IK
    AhnLab-V3 5.0.0.2 2009.03.24 Win-Trojan/Keygen.64512
    AntiVir 7.9.0.120 2009.03.24 TR/Agent.7756.A
    Antiy-AVL 2.0.3.1 2009.03.24 Trojan/Win32.Agent
    Authentium 5.1.2.4 2009.03.23 W32/Heuristic-210!Eldorado
    Avast 4.8.1335.0 2009.03.23 Win32:Trojan-gen {Other}
    AVG 8.5.0.283 2009.03.23 Suspicion: unknown virus
    BitDefender 7.2 2009.03.24 -
    CAT-QuickHeal 10.00 2009.03.24 Win32.Trojan.Glox.gen!damaged.3
    ClamAV 0.94.1 2009.03.24 Trojan.Win32.Crack
    Comodo 1082 2009.03.23 Unclassified Malware
    DrWeb 4.44.0.09170 2009.03.24 -
    eSafe 7.0.17.0 2009.03.23 Suspicious File
    eTrust-Vet 31.6.6414 2009.03.24 -
    F-Prot 4.4.4.56 2009.03.23 W32/Heuristic-210!Eldorado
    F-Secure 8.0.14470.0 2009.03.24 W32/Packed_Upack.A
    Fortinet 3.117.0.0 2009.03.24 W32/PE_Patch.Z
    GData 19 2009.03.24 Win32:Trojan-gen {Other}
    Ikarus T3.1.1.48.0 2009.03.24 Trojan.Zlob
    K7AntiVirus 7.10.679 2009.03.23 Trojan.Win32.Malware.1
    Kaspersky 7.0.0.125 2009.03.24 -
    McAfee 5562 2009.03.23 -

    McAfee+Artemis 5562 2009.03.23 Generic!Artemis
    McAfee-GW-Edition 6.7.6 2009.03.24 Trojan.Agent.7756.A
    Microsoft 1.4502 2009.03.24 Trojan:Win32/Meredrop
    NOD32 3957 2009.03.24 a variant of Win32/HackTool.Patcher.A
    Norman 6.00.06 2009.03.23 W32/Packed_Upack.A
    nProtect 2009.1.8.0 2009.03.24 Trojan-PWS/W32.WebGame.14513.B
    Panda 10.0.0.10 2009.03.24 Generic Trojan
    PCTools 4.4.2.0 2009.03.24 Packed/Upack
    Prevx1 V2 2009.03.24 -
    Rising 21.22.12.00 2009.03.24 -
    Sophos 4.39.0 2009.03.24 Generic Patcher
    Sunbelt 3.2.1858.2 2009.03.23 Trojan.Win32.Packer.Upack0.3.9 (v)
    Symantec 1.4.4.12 2009.03.24 Suspicious.MH690.A
    TheHacker 6.3.3.4.288 2009.03.24 W32/Behav-Heuristic-060
    TrendMicro 8.700.0.1004 2009.03.24 TROJ_VB.FJP
    VBA32 3.12.10.1 2009.03.23 -
    ViRobot 2009.3.24.1661 2009.03.24 -

    VirusBuster 4.6.5.0 2009.03.23 Packed/Upack
    Последний раз редактировалось Rene-gad; 24.03.2009 в 15:19.

  8. #7
    Junior Member Репутация
    Регистрация
    11.10.2008
    Сообщений
    10
    Вес репутации
    30
    Послал и установил соответственно буквально 17-18 марта. Я тоже пропускал через комплекс антивирусов и там тоже подобное было, но решил пусть вирусолог на Касперском конкретно посмотрит и точно скажет. Сказал - вот и поставил. Качал я файл из одной из тем на forum.ru-board.com. Не то, чтобы очень доверяю, но там тоже много людей пользовалось. Если не затруднит посмотрите файл поближе, может, что-то там действительно есть ) Может это и с провайдером моим связано, Бог знает. Не знаю на что думать.

    Но объективно после Вашего лечения объем трафика упал до 1-2 Кб/мин., что по-моему уже очень хорошо. Посмотрю потом на чистой системе как будет с СП3, но это когда руки дойдут.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от Lesmo Посмотреть сообщение
    Если не затруднит посмотрите файл поближе.
    Сорри, но я не аналитик. А специалисты из ВЛ не нашли в нем ничего плохого...

  10. #9
    Junior Member Репутация
    Регистрация
    11.10.2008
    Сообщений
    10
    Вес репутации
    30
    Спасибо за потраченное время, Ренегат ... и спецам тоже ) Полюбому ты что-то поймал и грохнул. Удачи тебе и здоровьица ) !

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,525
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 3
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Lesmo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Утечка трафика.
      От iggor6 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 06.03.2012, 02:57
    2. Ответов: 4
      Последнее сообщение: 16.04.2011, 22:48
    3. Ответов: 21
      Последнее сообщение: 14.09.2010, 22:31
    4. утечка трафика
      От pptpuser в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.04.2010, 00:30
    5. BriefLove music: движение к успеху
      От DVi в разделе Оффтоп
      Ответов: 26
      Последнее сообщение: 06.01.2009, 07:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01026 seconds with 21 queries