Убегает трафик на 64.62.171.165:80
Есть подозрение на троян или вирус.
Суть подозрения - начал убегать трафик. При общении с провайдером
выяснилось что постояно идет отправка пакетов на адрес 64.62.171.165
порт 80.
Проверка компьютера антивирусом Касперского версии 6.0 ничего не дала,
база сигнатур 22.11.2006 г. Проверка Доктором Вебом так же ничего не
выяснила. Тем не менее трафик продолжает убегать.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А если остановить UserGate - убегание остаётся?
Поищите и пришлите (см. Приложение 2 к правилам), если найдутся:
Пофиксите в HijackThis:Код:C:\WINDOWS\system32\aspi304849.exe C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\winsys2f.dll C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\arm32.dll C:\WINDOWS\system32\taskdir.exe c:\windows\system32\stonedrv.exe
Больше пока ничего не посоветую...Код:O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\arm32.dll (file missing) O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\winsys2f.dll (file missing)
Собственно в принципе это может дело любая из этих программ :
Пришлите их на всякий случай по правилам .
C:\Program Files\UserGate\UGToService.exe
C:\WINDOWS\UpdReg.EXE
C:\Program Files\EPOX\USDM\USDM.EXE" "5000"
C:\Program Files\XP Repair Pro\xprepairpro.exe
C:\Program Files\BORGChat\BORGChat.exe
C:\Program Files\SlonAx\slnx_client.exe
C:\Program Files\TechniSat DVB\bin\Server4PC.exe
C:\PROGRA~1\ads\DOZA-T~1\dtserver.exe
C:\WINDOWS\system32\taskdir.exe
c:\windows\system32\stonedrv.exe
А не пробовали поставить стенку и посмотреть кто это играеться ?
Можно пофиксить , так как вроде файлов нет , или я не прав и они есть ? Если есть , то пришлите :
Код:O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\arm32.dll (file missing) O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\winsys2f.dll (file missing) O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\system32\aspi304849.exe (file missing)
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
UserGate выключал, эффекта нет.
Файлов указанных нет в системе. Эти файлы когда то были, я их давненько удалил (какие то вирусы были) на данный момент их нет.
Пофиксил.Код:C:\WINDOWS\system32\aspi304849.exe C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\winsys2f.dll C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\arm32.dll C:\WINDOWS\system32\taskdir.exe c:\windows\system32\stonedrv.exe
Файлы выслал.
Файл сохранён как 061123_140121_virus_4565f0012fcd5.zip
Размер файла 1365218
MD5 01b3711512d27828029a383283c9e45e
Стенка установлена на данный момент COMODO, но там нет указания на то, что кто то ломится на этот адрес. Попробую поставить другое что-нить.
Установил Аутпост. Замечено что SVCHOST просится на 239,255,255,250. Остальное вроде без подозрений, UserGate сейчас выключил, понаблюдаю.
Последний раз редактировалось Mr_Kill; 24.11.2006 в 08:05.
По ходу дела был pe386, убил я файл lzx32.sys и записи в реестре на него.
Теперь объявился следующий файл - ujqyndc4.sys, его AVZ находит, но не может удалить. Т.е. отложенное удаление и очистка в реестре от ключей не помогает. Физически это файл найти не могу в windows\system32\ujqyndc4.sys
Давайте новые логи. Файл попробуйте прислать на анализ. Раз AVZ его видит, значит, сумеет закатать в карантин.
P.S. Вы заплатки на систему ставите?
Судя по имени - это драйвер от AVZ. Если так - то AVZ бедет подсвечивать его зеленым и не даст удалить или закарантинить. А после выхода из AVZ тот файл исчезнет вместе с ключем реестра.Сообщение от pig
Зараза вроде умерла.
На всяк случай выкладываю логи. Так же замечена странность. Антивирус Касперского 6.0 перестал обновляться. При попытке обновления вылетает с ошибкой. До этого он ругался на ПО INVADER.
Завтра проверю по логам провайдера убегает ли трафик, т.к. файрволл ничего криминального не видел. И Не было там тех адресов какие есть в логе провайдера.
Уважаемый(ая) Mr_Kill, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
