Показано с 1 по 12 из 12.

Не ловится вирус. Компьютер ломится в И-нет по 80 порту. (заявка № 8754)

  1. #1
    Junior Member Репутация
    Регистрация
    01.04.2007
    Сообщений
    6
    Вес репутации
    36

    Thumbs down Не ловится вирус. Компьютер ломится в И-нет по 80 порту.

    Доброе время суток.

    С моей машины устанавливаются соединения с интернетом. Это видно на шлюзе, в логах НАТа.

    Машину прогнал SAV10, AVZ, RootkibBuster (Trend), TCPView, - абсолютно ничего. Sysinternal PE тоже, ничего подозрительного не показывает. В автозапуске ничего сверхподозрительного. На всякий случай почистил до минимума.
    Пришлось поставить Аутпост.
    Сначала вроде отловилось соединение от msgsys.exe xfr.exe по указанным сайтам. Заблокировал. Отправил на virustotal: services, csrss, msgsys, xfr.
    Ничего.
    Примечательно, что перед установлением соединения services.exe ДНСил и пинговал сайты flb.com blackhole-1.iana.org blackhole-2.iana.org prisoner.iana.org. сам он (services) по данным virustotal чист.
    Самое интересное. С включеным блокированием сетевой активности кроме ДНС в режиме обучения- эта машина перестает коннектиться. Но стоит мне разрешить соединение по RDP к шлюзу, опять туева хуча коннектов. И в процессах Аутпоста НИЧЕГО! Кроме коннекта по РДП разумеется...
    Проделал все то, что полагалось в правилах постинга.
    Сейчас все еще servises пытается резолвить blackhole-1.iana.org, аутпост блокирует.... Если разрешить - ломится на 200.39.9.0...
    Что еще можно предпринять? В смысле зверька поймать. Форматнуть всегда успеется.

    PS
    Забавно, но другие машины в этой сетке не ломятся в интернет, молчат. ОС проблемной машины W2000, остальных - XP.

    PPS
    http://www.virustotal.com/vt/en/resu...7b7bb974dd2bc2
    Может просто вирус новый? Однако он в карантине, а чудеса не кончились.
    Вложения Вложения
    Последний раз редактировалось IronOre; 01.04.2007 в 09:17.

  2. Реклама
     

  3. #2
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    А что такое Gene6 FTP Server?
    Сделайте так.
    AVZ - AVZPM - Установить драйвер расширенного мониторинга. Перезагрузитесь и повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    01.04.2007
    Сообщений
    6
    Вес репутации
    36
    G6 - у меня находится уже больше года. Работает только внутри локалки. Правда один единственный раз на него заходили ивне, но через ВПН. Убрал из автозагрузки и его тоже.

    Странно, драйвер не устанавливается. Я так полагаю, потому что менюшка не меняется.

    Тут еще кое-что обнаружилось. Оказалось что файл msvcrtd.exe не удалился из систем32. Он был заблокирован процессом svchost. ручками удалил этот файл, отключил Аутпост. Перезагрузился.
    И о чудо! Пока в инет не ломится машина. Однако что-то мне подсказывает что это не все. Как удостовериться что этот \system32\msvcrtd.exe был единственный зверек на машиен и теперь можно спать спокойно?

    PS
    Почему этот файлик не обнаружился, когда я вручную запускал сканирование системы, и нашелся только тогда, когда выполнялся скрипт "Вылечить и отправить лог на вирусинфо"? Что за настройси сканирования вы применяете?

    PPS Логи Высылать? Есть логи "до того как..." и можно сделать те, что сейчас.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Пришли лучше имеющийся карантин сюда. Загружать через форму, ссылка сверху.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    01.04.2007
    Сообщений
    6
    Вес репутации
    36
    Пожалуйста, выслал.

    Кстати, машина работает, аутпост отключен, G6 снова включил. Пока все в норме. По всей видимости зверь повержен.

    Спасибо за помощь.
    И также отдельное спасибо авторам утилиты AVZ.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Это описание зверька.

    AhnLab-V3 2007.4.3.1 04.03.2007 no virus found
    AntiVir 7.3.1.48 04.03.2007 HEUR/Malware
    Authentium 4.93.8 03.31.2007 no virus found
    Avast 4.7.936.0 04.03.2007 no virus found
    AVG 7.5.0.447 04.03.2007 BackDoor.Agent.EVH
    BitDefender 7.2 04.03.2007 no virus found
    CAT-QuickHeal 9.00 04.02.2007 (Suspicious) - DNAScan
    ClamAV devel-20070312 04.03.2007 no virus found
    DrWeb 4.33 04.03.2007 no virus found
    eSafe 7.0.15.0 04.02.2007 Win32.Agent.alm
    eTrust-Vet 30.6.3536 04.03.2007 Win32/Scynaud.A
    Ewido 4.0 04.02.2007 Backdoor.Agent.alm
    FileAdvisor 1 04.03.2007 no virus found
    Fortinet 2.85.0.0 04.02.2007 suspicious
    F-Prot 4.3.1.45 03.30.2007 no virus found
    F-Secure 6.70.13030.0 04.03.2007 Backdoor.Win32.Agent.alm
    Ikarus T3.1.1.3 04.03.2007 Trojan-Downloader.Win32.Agent.azg
    Kaspersky 4.0.2.24 04.03.2007 Backdoor.Win32.Agent.alm
    McAfee 4998 04.02.2007 New Malware.n
    Microsoft 1.2306 04.03.2007 no virus found
    NOD32v2 2165 04.03.2007 no virus found
    Norman 5.80.02 04.02.2007 no virus found
    Panda 9.0.0.4 04.02.2007 no virus found
    Prevx1 V2 04.03.2007 no virus found
    Sophos 4.16.0 03.30.2007 Mal/Packer
    Sunbelt 2.2.907.0 04.03.2007 VIPRE.Suspicious
    Symantec 10 04.03.2007 no virus found
    TheHacker 6.1.6.084 04.02.2007 Backdoor/Agent.alm
    VBA32 3.11.3 04.02.2007 no virus found
    VirusBuster 4.3.7:9 04.02.2007 Packed/Upack
    Webwasher-Gateway 6.0.1 04.03.2007 Heuristic.Malware

    Надо повторно сделать логи с п.10 Да, и outpost включить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    01.04.2007
    Сообщений
    6
    Вес репутации
    36
    Пожалуста.
    Вложения Вложения

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Ничего плохого не вижу.

    Только в сетевых настройках многовато DNS-серверов прописано.

    217.199.222.33 - знаете, что это такое. Просто много портов на этот адрес открыто.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    01.04.2007
    Сообщений
    6
    Вес репутации
    36
    опять 25!
    На этот адрес TCPView не видит коннектов, OutPost тоже, в журнале не покзывает соединения по указанному адресу, хотя в кеше ДНС видно, что адрес только что разрешился.

    Формат с: надеюсь поможет!

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Разберитесь с DNS

    h10001.cust.quickhost.ru (217.199.222.33)

    217.199.222.0 - 217.199.222.255
    Co-located servers


    Dmitry A. Nikitin
    4 korp 1, 1st Avtozavodskiy pr.
    Moscow, 115280
    Russia
    dn@quickline.ru
    drcasper@mail.ru
    +74957400047


    Sergey B. Veltistov
    4 korp 1, 1st Avtozavodskiy pr.
    Moscow, 115280
    Russia
    phisto@quickline.ru
    phisto@mail.ru
    +74957400047

    Это Вашего провайдера сетка? Если нет, то надо попробовать заблокировать этот адрес в Outpost. Увидите, что туда ломится будет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    01.04.2007
    Сообщений
    6
    Вес репутации
    36
    Нет, не наш провайдер.
    Можно так сказать - принцип понял, но воевать со злом устал. Отформатировал.
    Тем более что давно пора уже с 2000 на ХР пересесть.

    Еще раз благодарю за помощь.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,530
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\winnt\\system32\\msvcrtd.exe - Backdoor.Win32.Agent.alm (DrWEB: DDoS.Carvan)


  • Уважаемый(ая) IronOre, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Сервер ломится на почтовик по порту 25
      От Slaweek в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 17.07.2010, 11:07
    2. svchost.exe ломится по порту 80 на какой-то IP
      От GhWolf в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 06:47
    3. Комп ломится в инет по 17 Порту UDP
      От AlexKlo в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 04:42
    4. Компьютер ломится в сеть !!
      От als-a в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 10.07.2008, 13:56
    5. Компьютер ломится на 207.10.234.74
      От alyen в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 24.03.2008, 11:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00013 seconds with 22 queries