-
Вложений: 3
Огромный входящий трафик
Добрый день!
Проблема такая: валит входящий трафик от процесса svchost (который DCOM), svchost.exe чистый. Исходящего трафика практически нет. Запросы идут на самые разные сайты (изредка есть запросы POST). При отключении сетевого интерфейса на локальную сеть картина не меняется (т.е. зараза где-то на компе). При блокировке файрволом ряда сайтов, из тех, куда ходит зловред, трафик постепенно уменьшается и потом пропадает. Только видны попытки проломиться на уже закрытые адреса. Как только отключаю блокировку - практически сразу трафик начинает валить снова.
-
Пункт 2 правил выполняли (полная проверка CureIt!'ом)?
-
Да, все чисто. Также проверялось еще KAV и рядом анти-руткитов, ничего не обнаруживается, но проблема с трафиком есть.
Вчера-сегодня ломится на такого рода адреса:
resource-a-day.net/member/index.cgi?tj42
theadclick.com/pages/index.php?refid=ec0lag
paidclickings.com/default.asp?id=ec0lag
ruspromotion.net/site/index.php?ref=ec0lag
На этот - virtu0z.info/account/p.php - посылает POST запросы
-
Ну как же мне выловить зловреда, а? Я уже неделю с ним пытаюсь разобраться :(
-
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\SYSTEM32\isapips32.dll','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=22374[/url]).
-
Карантин отправил. Также проверил этот файл через virustotal = 9/31 троян. А вот у каспера типа все чисто :(
Отправил и им тоже
-
C:\WINDOWS\SYSTEM32\isapips32.dll Trojan.Win32.Small.aup
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\SYSTEM32\isapips32.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи ...
-
Вложений: 3
Ну кажется зловред побежден!!
Огромное спасибо!!
Повторяю логи
-
зловредного ничего не видно ... только два антивируса на одном компьютере - уже много ...
-
Еще раз большое спасибо!!
А насчет антивирусов, так только один установлен - KAV. Есть правда еще плагины для Kerio, но они не должны конфликтовать
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\isapips32.dll - [B]Trojan.Win32.Small.aup[/B] (DrWEB: Trojan.Maby.24)[*] \\2008-05-04\\bcqr00002.dta - [B]Trojan.Win32.Small.aup[/B] (DrWEB: Trojan.Maby.24)[/LIST][/LIST]
Page generated in 0.00621 seconds with 10 queries