Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Большой исходящий траффик (заявка № 9778)

  1. #1
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Nefteugansk
    Сообщений
    15
    Вес репутации
    35

    Thumbs up Большой исходящий траффик

    Сделал все как описано в правилах. Вроде исходящий траффик потух но чтобы убедиться все ли вылечилось, посмотрите плиз логи.
    Последний раз редактировалось NecroMaster; 17.05.2007 в 07:16.

  2. Реклама
     

  3. #2
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\DOWNLO~1\CSViewer.ocx','');
     QuarantineFile('C:\Windows\xpupdate.exe','');
     QuarantineFile('\SystemRoot\system32\DRIVERS\vsb.sys','');
     QuarantineFile('C:\WINDOWS\qvphook.dll','');
    RebootWindows(false);
    end.
    После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    @NecroMaster
    После скрипта MaXimа: Удалите NewDotNet, только точно, как здесь описано, а то останетесь без сети: http://www.computerbild.ru/?did=14_1086

  5. #4
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Nefteugansk
    Сообщений
    15
    Вес репутации
    35
    файл загрузил.
    только в карантине не было файла xpupdate.exe

  6. #5
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Nefteugansk
    Сообщений
    15
    Вес репутации
    35
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    @NecroMaster
    После скрипта MaXimа: Удалите NewDotNet, только точно, как здесь описано, а то останетесь без сети: http://www.computerbild.ru/?did=14_1086

    спасибо... удалил.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от NecroMaster Посмотреть сообщение
    файл загрузил.
    только в карантине не было файла xpupdate.exe
    попробуйте с помощью АВЗ найти и ручками в новый архив запаковать. Заодно пофиксите
    O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
    3 закачанных файла по вирустотал чистые

  8. #7
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Nefteugansk
    Сообщений
    15
    Вес репутации
    35
    нет файла.
    смотрел глазами в папке windows, искал с помощью avz, искал с помощью винды. Включил показывать скрытые и системные файлы.

    И самое главное. Огромный исходящий траффик остался.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    @NecroMaster
    повторите пожалуйста логи, как в Вашем первом сообщении.

  10. #9
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Nefteugansk
    Сообщений
    15
    Вес репутации
    35
    теперь гораздо больше красноты
    Последний раз редактировалось NecroMaster; 17.05.2007 в 07:16.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от NecroMaster Посмотреть сообщение
    теперь гораздо больше красноты
    Что Вы имеете ввиду под краснотой?
    Попробуте удалить вручную через regedit
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\Windows update loader
    Файл есть и в HJT и в АВЗ-логах. Посмотрите установки для поиска : http://freenet-homepage.de/rene-gad/invisible.html
    Ищите через АВЗ по маске xpupdate.* или xpupdat* - м.б. у файла скрытое расширение, напр. xpupdate.exe______________________________________ _________________________________com, в этом случае его труднее поймать за хвост.

  12. #11
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Nefteugansk
    Сообщений
    15
    Вес репутации
    35
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Что Вы имеете ввиду под краснотой?
    Попробуте удалить вручную через regedit
    когда АВЗ сканировал систему в первый раз то в окне отчета вроде не выводилось столько красных строчек. Насчет scvhost'а и других. А сейчас я заметил.
    Последний раз редактировалось NecroMaster; 16.05.2007 в 16:01.

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Попробуйте такой скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     QuarantineFile('C:\Windows\xpupdate.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите по правилам то, что попадет в карантин.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Nefteugansk
    Сообщений
    15
    Вес репутации
    35
    установил outpost firewall
    вот что пишет:
    svchost.exe пытался получить доступ к rawsocket
    и
    svchost.exe пытается с разных портов попасть на сайт russiapays.com по 80 порту...

    этих портов он очень много открывает

  15. #14
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Nefteugansk
    Сообщений
    15
    Вес репутации
    35
    Bratez
    попался только svchost.exe, файл закачал

    xpupdate.exe так и не нашел на компе. запись в реестре почистил.

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Поймался свеженький! На Virustotal'e на него многие обзываются по-разному, а вот КАВ еще не знает, я им отправил. Давайте его прибъем:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\svchost.exe');
     BC_DeleteFile('C:\WINDOWS\svchost.exe');
    BC_Activate;
    RebootWindows(true);
    end.
    а после перезагрузки опять попробуем поймать неуловимого, чем черт не шутит :
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Windows\xpupdate.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Если попадется - шлите, а если нет - сделайте новые логи.
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Nefteugansk
    Сообщений
    15
    Вес репутации
    35
    у нас уже поздно... мне надо уходить. продолжим завтра если Вы не против.

    два последние скрипта выполнил. xpupdate.exe не поймался. завтра скину новые логи.

  18. #17
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Nefteugansk
    Сообщений
    15
    Вес репутации
    35
    продолжим?

    вот последние логи

    при проверке выделил файл IMEn находящийся в windows\system32

    nod что то заподозрил но сказал что неизвестный вирус. Отправил им.

    по вирус тотал не однозначные мнения.
    Вложения Вложения
    Последний раз редактировалось NecroMaster; 17.05.2007 в 07:54.

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Отправил им.
    А нам?! Файл действительно подозрительный.
    В первых логах что-то я этого не припомню, хотя может и прозевал.

    Вот это надо фиксить:
    Код:
    O23 - Service: NNServ - Unknown owner - C:\Program Files\NewDotNet\nnrun.exe" "C:\Program Files\NewDotNet\nncore.dll" ServiceStart (file missing)
    O23 - Service: Поставщик поддержки безопасности NT LM NtLmSspBITS (NtLmSspBITS) - Unknown owner - C:\WINDOWS\system32\IMEn.exe
    Первое - ошметки от NewDotNet, а касательно второго: настоящая служба "Поставщик поддержки безопасности NT LM" имеет имя NtLmSsp и исполняемый файл у нее lsass.exe.
    Так что выполните скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\IMEn.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    и карантин в студию, а потом запустите окошко командной строки и выполните в нем команды:
    sc delete NNServ
    sc delete NtLmSspBITS
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Nefteugansk
    Сообщений
    15
    Вес репутации
    35
    Цитата Сообщение от Bratez Посмотреть сообщение
    А нам?!
    а вам только после запроса, так в правилах написано

    файл заслал.

    Спасибо что помогли все красиво почистить.

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Вот еще скрипт для удаления файла, т.к. sc (afaik) только удаляет ключ в реестре:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\IMEn.exe');
     BC_DeleteFile('C:\WINDOWS\system32\IMEn.exe');
     BC_Activate;
    RebootWindows(true);
    end.
    Сделайте лог HijackThis для контроля.

    P.S. Это был Backdoor.Win32.IRCBot.abc. Мутант какой-то - в соседней теме он косил под службу автообновлений.
    I am not young enough to know everything...

  • Уважаемый(ая) NecroMaster, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Идет большой исходящий траффик
      От alexjv в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 01.09.2009, 16:05
    2. Большой исходящий траффик
      От Boriasik в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.03.2009, 15:15
    3. Большой исходящий траффик
      От Cash123 в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 02:14
    4. Временами большой исходящий траффик.
      От wanderer в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 31.05.2007, 11:05
    5. Большой исходящий траффик
      От Mutant в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.05.2007, 15:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00000 seconds with 22 queries