Показано с 1 по 7 из 7.

Лезет на 80.240.*.* и не только (заявка № 42423)

  1. #1
    Junior Member Репутация
    Регистрация
    25.09.2006
    Адрес
    Pristen - Kursk region
    Сообщений
    33
    Вес репутации
    38

    Thumbs up Лезет на 80.240.*.* и не только

    Здравствуйте!
    Заметил постоянно мигающие или даже горящие мониторчики в трее и торможение "официального" трафика, хотя стараюсь отключать любые автозагрузки (ненужные) и активность сети (типа отчетов и т.п.).
    В AGAVA Firewall обнаружил, что система по протоколу ICMP с частотой примерно одна попытка в секунду пытается подключиться к адресу 80.240.0.0 и тд до 80.240.255.255 и затем опять с нуля (друг пробил адрес - сказал что это айпишники моб. оператора теле2, хотя интернет по мобильным каналам никогда не шел на этом компе). Кроме того непонятные адреса 192.168.1.255 по протоколу UDP тоже иногда начинают настырно подключаться (локальный порт у них netbios-dgm и netbios-ns - не знаю что это и полезна ли эта информация, но пишу, что наю).
    С помощью AGAVы заблокировал им доступ, но хотя трафик не кушает теперь, но эта постоянная активность очень раздражает.
    В качестве антивируса Доктор Веб (все обновлено), работает резидентно; также установил Spyware Terminator (перекрестился после того как гром грянул).
    Может быть полезно: Crypto Pro, которую заподозрила AVZ - это программа для цифровых подписей.

    А еще создается нулевой файл kht, наверное известный Вам вирус.

    Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe csrcs.exe"
    >>> C:\WINDOWS\system32\csrcs.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
    Файл успешно помещен в карантин (C:\WINDOWS\system32\csrcs.exe)

    - это наверное про него? То что он поместился в карантин, значит он уже безопасен или его надо добить? Ну и я так понимаю он никак не связан с вышеизложенной проблемой


    Большое спасибо. Извините за долгий рассказ.
    Вложения Вложения

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\csrcs.exe');
     QuarantineFile('c:\windows\system32\csrcs.exe','');
     DeleteFile('c:\windows\system32\csrcs.exe');
     ExecuteRepair(8);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=42423

    Мой рассказ получился коротким
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    25.09.2006
    Адрес
    Pristen - Kursk region
    Сообщений
    33
    Вес репутации
    38

    80.240. убит, но...

    Но что же все-таки за netbios-dgm и netbios-ns с адресами 192.168.1.255 - они блокируются фаерволом, но я вроде их не блокировал, а кто их блокировал и что они делают, а главное кто они? (хотя их деятельность можно только в статистике фаервола можно заметить, а в сети теперь полный штиль)
    Если можно, прояснить: так это значит одна и та же дрянь (csrcs) и создает KHT и лазиит по айпишникам?
    Ещё одно: после ребута система сообщила, что ей очень нехватает csrcs. В автозагрузках и службах не нашел ее. Как добить клопа?

    П.С.: Длинна рассказа в прежнем стиле

    Спасибо
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    профиксить:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
    Сделать лог Хиджака.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    25.09.2006
    Адрес
    Pristen - Kursk region
    Сообщений
    33
    Вес репутации
    38

    Danke sehr

    Нетбиосы c адресами 192.168.1.255, а также по протоколу IGMP на адрес 192.168.1.1 все-таки изредка лезут и блокируется, я догадываюсь что это за адреса и что это наверное стандартные службы, но слегка напрягает.
    ну и шут с ними, главное csrcs убит.

    Большое спасибо

    P/S: Наверху темы красное сообщение "Прислать запрошенный карантин", но я его сразу после запроса выслал. Что-то не так?
    Последний раз редактировалось LAM; 25.03.2009 в 12:27. Причина: P/S:

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Был убит:csrcs.exe - Packed.Win32.Klone.bj
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,508
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\csrcs.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Autohit.3438, BitDefender: Trojan.Heur.AutoIT.1 )


  • Уважаемый(ая) LAM, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 12.07.2012, 06:22
    2. Что-то лезет в инет, но только после 15-00
      От Grey-ua в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 25.10.2010, 21:33
    3. Что-то лезет в интернет!
      От igor2999 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 21.07.2009, 22:43
    4. лезет в инернет
      От vit496 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 26.09.2007, 19:41
    5. Кто-то лезет в инет
      От anton_dr в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 10.06.2006, 12:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01230 seconds with 21 queries