-
Junior Member
- Вес репутации
- 49
Блокировка доступа в интернет, непонятная сетевая активность
Здравствуйте.
Периодически создается ощущение, что к компьютеру кто-то пытается получить доступ.
Всё началось с того, что блокировался доступ к интернету. Пинг шел, трассировка тоже в норме, но сайты не грузились ни в одном браузере: при нажатии на кнопку "обновить" не происходило никаких действий.
Позже начал замечать, что сканируются порты. Через "Сетевые подключения" в Eset Smart Security увидел, что в некоторых процессах, которые работают на фиксированных портах (в основном в apache - 80 порт), появляются дополнительные порты и именно в этот момент блокируется доступ к интернету. Вчера были такие порты: 4573, 4574... Сегодня уже 4682, 4683 и т.д. В диспетчере задач AVZ процесс System выделяется красным цветом с пометкой типа - маскировка RootKit User Mode.
Перезагрузка исправляет ситуацию, но ненадолго.
Помогите решить проблему.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Выполните скрипт в AVZ:
Код:
begin
QuarantineFile('C:\WINDOWS\system32\drivers\wdmaud.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Файл Hosts сами правили?
-
-
Junior Member
- Вес репутации
- 49
Пытался 3 раза выполнить скрипт, последний раз в безопасном режиме - карантин пустой и файлик quarantine.zip весит всего 22 байта. Вручную через "Файл"-"Добавление в карантин по списку" тоже не получилось. Пишет, что скрипт выполнен, а в итоге карантин пустой.
Попробовал переустановить AVZ - тоже самое.
Запаковал wdmaud.sys и выслал архивом.
Файл сохранён как 110116_020459_wdmaud_4d32281bae8ee.zip
Размер файла 46258
MD5 df05d8dc74a5e2cfa7ed1e7bbd4eabcf
Насчет файла hosts - да, все правки наши
-
Файл безопасный.
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - {63432924-FF0F-4F2D-BA15-FE46454977A3} - (no file)
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\userinit.exe
O2 - BHO: (no name) - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
Повторите лог HijackThis и приложите в теме.
Выполните скрипт в AVZ отсюда:
http://df.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Так же прошу выполнить эту процедуру и загрузить там получившийся файл:
http://virusinfo.info/showthread.php?t=3519
Информацию о загрузке приложите здесь.
-
-
Junior Member
- Вес репутации
- 49
Сообщение от
Nikkollo
Пофиксите в HijackThis.
Повторите лог HijackThis и приложите в теме.
Готово
Сообщение от
Nikkollo
Сделано
Сообщение от
Nikkollo
Ок
Код:
Файл сохранён как 110116_144558_virusinfo_files_ASSMAX_4d32da7630c77.zip
Размер файла 29270610
MD5 3ce8495e64d654689e7765884746410c
-
Обновите Adobe Flash Player по ссылке, указанной в avz_log.txt.
-
-
Junior Member
- Вес репутации
- 49
Спасибо, обновил.
Какие-нибудь логи нужно повторить?
-
-
-
Junior Member
- Вес репутации
- 49
Лог MBAM cделал.
Нашлось несколько подозрительных параметров в реестре.
Также возникла еще одна проблема - после 8-10 часов работы компьютера перестают запускаться файлы .exe. Сначала меню (если к примеру запускаю из меню "пуск" браузер) зависает секунд на 30-40, потом высвечивается сообщение, что нет прав на выполнение этого действия. Использую учётную запись администратора.
-
Junior Member
- Вес репутации
- 49
Вот, сейчас смог сделать логи avz в момент пропадания интернета, о чем я писал в первом посте.
Беспокоит "ошибка чтения машинного кода".
-
Удалите в MBAM:
Код:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rundll32.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
c:\program files\microsoft common (Trojan.Agent) -> No action taken.
j:\торрент-уликс\Софт\stamp-v0.85_kassy-v0.71\ky071p\loader.exe (Trojan.Kates) -> No action taken.
c:\documents and settings\administrator\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
Так же выполните у себя этот инструмент:
http://support.kaspersky.ru/faq/?qid=208636943
Отпишитесь, было ли что-нибудь найдено.
Повторите лог virusinfo_syscheck.zip и приложите в теме.
Последний раз редактировалось Nikkollo; 22.01.2011 в 20:56.
-
-
Junior Member
- Вес репутации
- 49
Указанные пункты в Mbam'e удалил, прикладываю лог.KatesKiller ничего не нашел - всё по нулям.
Лог virusinfo_syscheck.zip прикладываю.
-
Плохого в логах не обнаружил.
-
-
Junior Member
- Вес репутации
- 49
Попробую еще раз просканировать, только CureIT и выложить новые логи.
Теперь с периодичностью в 5-8 часов отказываются запускаться exe'шники. Вылетает ошибка, дословно: "Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту". При этом заметил, что зависает программа, в которой работал в момент начала блокировки: обычно браузер, часто qip.
Вы не знаете, это как-то может быть связано с ошибками операционной системы, а не с вирусами?
ОС: Windows XP Professional SP3, лицензия.
-
На каком диске находятся эти экзешники?
Что из себя представляют диски J и T?
-
-
Junior Member
- Вес репутации
- 49
Экзешники находятся на C и на J - браузеры, авз, всё отказывается открываться. Есть подозрения, что блокирует outpost. Попробую на сутки его выгрузить.
Диски C, D, J, K - локальные диски (два винчестера разбиты на 4 раздела). Диск T - серверный (целиком лежит на локальном диске K)
-
Сообщение от
Qewest
Диск T - серверный (целиком лежит на локальном диске K)
То есть этот компьютер работает как сервер? Я правильно понял?
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-