Показано с 1 по 15 из 15.

Улетает исходящий трафик со скоростью 40к пакетов в 5 минут. (заявка № 87190)

  1. #1
    Junior Member Репутация
    Регистрация
    04.09.2010
    Сообщений
    54
    Вес репутации
    23

    Улетает исходящий трафик со скоростью 40к пакетов в 5 минут.

    Нуждаюсь в помощи. По всем признакам похоже на "Kido". Изначально были проблемы с открытием антивирусных сайтов. Это поправил скриптом, выполненным в AVZ. Скрипт нашел здесь, на форуме. Так же выполнял проверку в безопасном режиме актуальной версией Cure It. Было найдено несколько троянов, которые в итоге были удалены. Видимого результата это не дало. ОС - сборка от "зверя". Только что обновил её до самого актуального sp3, по этому с заплатками проблемы быть не может. Как все это я обнаружил - стал плохо работать интернет (вечером), этому особого значения не придал, т.к. он частенько плохо работает именно вечером. На следующий день стал разбираться, когда увидел что исходящие пакеты в несколько сотен раз превышают входящие - поставил outpost firewall. Получилась следующая картина - при запущенном firewall процесс svchost нагружает ЦП ~на 60%, а процесс lsass на остальные 40%. При этом пакеты отправляются нормально, firewall их держит. Стоит его отключить - как тут же нагрузка на ЦП падает до 0%, а пакеты начинают стремительно бежать в неизвестном направлении. Штатный антивирус - NOD32, постоянно обновлялся, работал непрерывно, вирусов он не обнаруживал. Логи прилагаю ниже. Надеюсь на скорую помощь, работа стоит
    Последний раз редактировалось Enth; 15.05.2011 в 20:00.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,428
    Вес репутации
    904
    Плохого не увидел.

    1.
    Цитата Сообщение от Enth Посмотреть сообщение
    ОС - сборка от "зверя"
    2. Проверьте, возможно это одна из установленных программ

  4. #3
    Junior Member Репутация
    Регистрация
    04.09.2010
    Сообщений
    54
    Вес репутации
    23
    Venus Doom , да нет, кроме аутпоста ничего не ставил. Еще замечена такая тенденция - выключил NOD32 что бы делать логи - пакеты пришли в норму. С инетом точно все нормально - проверял на буке.

    Добавлено через 6 минут

    Хотя вот как вариант - лазил по порно сайтам, мне несколько раз выдавало полноразмерное окно с иероглифами как hex в файле. Только что заметил на рабочем столе файл "tmp.tmp". Такого у меня не было... Такой же файл имеется по следующим адресам:

    C:\Documents and Settings\Enth
    C:\Program Files\QIP
    C:\WINDOWS\system32
    D:\ProГраммы\Garena\plugins\UI
    C:\Documents and Settings\Enth\Local Settings\Application Data\Google\Chrome\Application\5.0.375.99

    Добавлено через 6 минут

    + вот такое "C:\WINDOWS\system32\drivers\afwcore.sys" в подозрительных объектах. Подозрение на RootKit. Перехватчик KernelMode. Может вы не заметили!?
    Последний раз редактировалось Enth; 04.09.2010 в 16:10. Причина: Добавлено

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,428
    Вес репутации
    904
    Сделайте лог: http://virusinfo.info/showthread.php?t=53070

    + вот такое "C:\WINDOWS\system32\drivers\afwcore.sys" в подозрительных объектах. Подозрение на RootKit. Перехватчик KernelMode. Может вы не заметили!?
    Заметил, это от антивируса AVAST!

  6. #5
    Junior Member Репутация
    Регистрация
    04.09.2010
    Сообщений
    54
    Вес репутации
    23
    Аваста никогда не было, это точно! Может быть это от аутпоста.
    Последний раз редактировалось Enth; 15.05.2011 в 20:00.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,428
    Вес репутации
    904
    Цитата Сообщение от Enth Посмотреть сообщение
    Аваста никогда не было, это точно! Может быть это от аутпоста.
    Да, спутал, прошу прощения.

    Удалите с МВАМ:
    Код:
    C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
    Файлы tmp.tmp тоже удалите.

  8. #7
    Junior Member Репутация
    Регистрация
    04.09.2010
    Сообщений
    54
    Вес репутации
    23
    Venus Doom, keylog удалил. С tmp.tmp получилась загвоздка - после перезагрузки он создается только в папке system32. Отправка пакетов и загрузка ЦП - без изменений.

    Добавлено через 6 минут

    Может стоит копать в сторону процессов svchost и lsass, так как именно на них влияет аутпост, не давая пакетам хаотично отправляться, как в следствии - поднятие нагрузки на ЦП до 100%...
    Последний раз редактировалось Enth; 04.09.2010 в 17:49. Причина: Добавлено

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,428
    Вес репутации
    904
    Подготовьте новый комплект логов

  10. #9
    Junior Member Репутация
    Регистрация
    04.09.2010
    Сообщений
    54
    Вес репутации
    23
    Новый комплект логов:
    Последний раз редактировалось Enth; 15.05.2011 в 20:00.

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\mdswieos.dll','');
     DeleteFile('C:\WINDOWS\system32\mdswieos.dll');
    RegKeyStrParamWrite('HKLM','system\currentcontrolset\control\securityproviders','SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    04.09.2010
    Сообщений
    54
    Вес репутации
    23
    Замечена странная особенность - когда делаю лог syscure.zip отключаю интернет как сказано в инструкции, после создания лога - включаю что бы создать следующий лог, но интернет не хочет работать, отправляет/принимает пару пакетов и все. Тип соединения DHCP (провайдер высылает настройки сети по запросу компьютера). После выполнения выше указанного скрипта поведение трафика и загрузка ЦП пришли в норму. Файл карантина вроде бы отправил... Так же прилагаю логи:
    Последний раз редактировалось Enth; 15.05.2011 в 20:00.

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Ничего плохого не видно
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    04.09.2010
    Сообщений
    54
    Вес репутации
    23
    Спасибо, проблема воде бы решена, но остались симптомы, при закрытии любых программ, компьютер стоит в бездействии где-то секунду, потом только закрывает. Что это может быть?

    Добавлено через 2 часа 19 минут

    Да, это совсем не радует, при открытии/закрытии фильма/винампа компьютер полностью подвисает, даже курсор не шевелится.

    Добавлено через 5 часов 11 минут

    Так же только что обнаружил - при попытке открыть что то через "Выполнить" - винда зависает.
    Последний раз редактировалось Enth; 06.09.2010 в 00:32. Причина: Добавлено

  15. #14
    Junior Member Репутация
    Регистрация
    04.09.2010
    Сообщений
    54
    Вес репутации
    23
    В общем принял решение переставить систему. Проблема решена.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,507
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\mdswieos.dll - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4779938, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Enth, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Улетает трафик
      От canopy в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 29.12.2010, 22:44
    2. Улетает трафик
      От Vlaad в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 01.03.2009, 21:06
    3. Улетает трафик
      От Старцев Василий в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 04:57
    4. Трафик улетает
      От cheetah в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:21
    5. Улетает трафик
      От Vedmedya в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.05.2008, 21:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00979 seconds with 21 queries