-
Junior Member
- Вес репутации
- 53
Посторонний траффик и отсутствие доступа к kaspersky.ru
Несколько дней назад замечен посторонний траффик - не большой, возникающий без закономерности. Может быть около 10-30Мб за час. Также нет доступа к kaspersky.ru.
tracert kaspersky.ru
Tracing route to kaspersky.ru [81.177.31.148] over a maximum of 30 hops:
1 2 ms 15 ms 3 ms bsr02.volgograd.ertelecom.ru [88.87.65.94]
2 3 ms 3 ms 1 ms te-2-0-0-48.bsr01.volgograd.ertelecom.ru 88.87.65.193]
3 1 ms 13 ms 1 ms 83.149.18.165
4 33 ms 33 ms 34 ms 10.222.77.166
5 33 ms 33 ms 33 ms mow-m9-i2-link.telia.net [213.248.100.165]
6 * * * Request timed out.
Причём сайты всех других антивирусных программ открываются, также открываются kaspersky.com, support.kaspersky.ru и другие домены и субдомены касперского.
Я пытался найти причины вручную. Но не смог найти никакой наводки на возможного виновника. Вот что всёже удалось определить:
- С помощью iptools.exe можно видеть периодически возникающие соединения, вроде такого:
???:0 88.87.93.**:1399 212.118.48.189:443
Они появляются и исчезают сами по себе - иногда их много, а иногда нет вообще.
- У меня статический IP 88.87.93.**, провайдер "Дом.РУ" (Волгоград). Но при подключении обычным модемом через ЮТК, доступ к kaspersky.ru ЕСТЬ.
Антивирус - аваст, базы обновляются регулярно. Выполнены все шаги по пунтам правил:
- Выполнена проверка всех дисков авастом перед загрузкой системы. Ничего.
- Выполнены проверки новыми AVPTool и CureIt в безопасном режиме. Ничего.
- Созданы необходимые логи, они приложены к теме.
Компьютер используется для работы - из не самого распространённого ПО только Denver.
Около месяца назад была проблема с ошибкой в службе Generic Host Process (http://notes.rudomilov.ru/2007/12/07...-host-process/) - был большой посторонний траффик (сотни Мб за час) и возникновение этой ошибки. Проблему удалось решить с помощью ComboFix.exe.
Прошу помощи! Очень трудно работать и есть опасения за сохранность данных.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
uarantineFile('C:\WINDOWS\system32\drivers\fklcc.sys','');
DeleteService('dtaif');
DeleteFile('C:\WINDOWS\system32\drivers\fklcc.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Скрипт выполнен. Карантин отправлен (100106_160616_virus_4b448ac8d395b.zip). Доступа к kaspersky.ru по прежнему нет.
При последней загрузке системы (до выполнения скрипта) аваст не запустился, при попытке запуска вручную - сообщение (приложено). Т.е. антивируса сейчас нет. Возможно этот вирус повредил аваст и я поймал ещё что-то.
Я ещё раз сделал 3 лога (приложено).
Как считаете, есть ещё средства кроме форматирования системного диска?
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + отчет GSI (ссылка в подписи)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Скрипт выполнен, карантин выслан (100107_121944_virus_4b45a7309dc40.zip). Доступа к kaspersky.ru по прежнему нет.
Сделаны 4 лога - они приложены.
-
Разблокируйте запуск Аваста, удалив в реестре
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{306f67a4-1ce6-4497-8385-c28ff3b0efbc}
C:\Program Files\Alwil Software
Больше плохого не увидел
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Большое спасибо!
Подскажите, как включить обратно восстановление системы? После отключения вкладка "System Restore" исчезла из свойств компьютера.
Я разблокировал аваст, полностью переустановил его. Перед этим ещё раз проверил с помощью ComboFix, он удалил:
c:\windows\system32\lowsec
c:\windows\system32\lowsec\local.ds
c:\windows\system32\lowsec\user.ds
kaspersky.ru по прежнему недотупен, но я подозреваю блокировку моего IP на их стороне.
-
Сообщение от
VladimirP
Подскажите, как включить обратно восстановление системы?
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
ExecuteWizard('TSW', 2, 2, true);
end.
-
-
Junior Member
- Вес репутации
- 53
В итоге, действительно удалено 3 файла, которые видимо были вирусами. Но посторонний траффик так и остался - файл вложения (в фоне окно iptools.exe). 12Mb входящего за 2 минуты. Я никак их не инициировал. Это было первое подключение после выполнения всех скриптов. Я опять сделал логи - разницы с последними нет, кроме отсутствия удалённых ранее файлов. В чём же может быть причина? Может это какие-то обновления? Но как понять чего?
Может ли быть причина в статическом IP - возможно кто-то узнав его организует какие-то атаки, которые являются причиной траффика?
Пожалуйста, поделитесь Вашим профессиональным мнением.
-
Вы раздаёте Интернет в локальную сеть 192.168.0.0 через этот компьютер.
-
-
Junior Member
- Вес репутации
- 53
Да, раздаю на ноутбук, но в моменты всех измерений он был выключен. Разве может выключенное устройство генерировать траффик? Причём исходящий.
Есть ли средство узнать какой процесс потребляет траффик? Чтобы определить файл, из которого он зупускаестя.
-
Вы на свою картинку смотрели? Сколько у вас ноутбуков?
192.168.0.72
192.168.0.159
Что это?
-
-
Junior Member
- Вес репутации
- 53
Что бы это нибыло - это не мои устройства. Возмо ли что кто-то зная мой статический IP, подключается к этой локальной сети через моего же провайдера и тянет траффик? Это бы всё объяснило. Как можно это установить точно?
-
Не возможно. Они подключаются через тот же интерфейс, что и ноутбук.
-
-
Junior Member
- Вес репутации
- 53
Я поставил Outpost Firewall Pro с самыми суровыми настройками, выполнил им проверку - он нашёл и удалил 2 бэкдора. Пока траффика нет. В списке таких соединений пока тоже нет.
-
Думаю, у ноутбука тоже Интернета не будет.
-
-
Junior Member
- Вес репутации
- 53
Действительно пока я его не настроил, но хотябы можно управлять доступом - там постоянно сканирование портов и подключения с этих странных IP локальной сети, которых нет. Я настроил фильтр, чтобы их блокировать. Меня вообще удивила неинициированная активность в сети.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.adqc ( BitDefender: Trojan.Generic.2963595, NOD32: Win32/Spy.Zbot.UN trojan, AVAST4: Win32:Malware-gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-