Большой исходящий трафик

Printable View

17.09.2008, 11:27
CandyMAN

Большой исходящий трафик

Добрый день.
Предисловие: на одной из машин в сети была обнаружена проблема: трафик быстро и незаметно возрос. Ввиду того, что на каждую машину имеется ограничение по трафику, человек остался без инета. На машине установлен корпоративный Trend Office Scan с последниими обновлениями. Существует очень небольшая вероятность того, что трафик был украден недобросовестными сотрудниками в период отсутствия человека на работе, но было решено проверить сперва возможность действия вирусов.

Действия: проведено сканирование утилитой CureIt. Был выявлен вирус Worm.Sifilis в папаке Temporery Internet Files и удален.Проведена проверка системы с испоьзованием утилиты AVZ

Прикладываю логи согласно правил и прошу помощи в проверке системы.
17.09.2008, 15:20
Rene-gad

Где Вы такой экзотический Хайджек нашли? Скачайте последнюю версию по ссылке в правилах.

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Jpu40.sys','');
DeleteService('Jpu40');
DeleteFile('C:\WINDOWS\System32\Drivers\Jpu40.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Jpu40');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
17.09.2008, 15:32
Numb

В дополнение: в логах видны две утилиты удаленного управления. Они точно обе ваши?
17.09.2008, 15:51
CandyMAN

[quote=Numb;284787]В дополнение: в логах видны две утилиты удаленного управления. Они точно обе ваши?[/quote]

Если NetOp и DameWare, то да ...
18.09.2008, 10:51
CandyMAN

файлы во вложении ...
карантин был отправлен еще вчера вечером (17/09/2008)
18.09.2008, 15:19
Rene-gad

В логах ничего подозрительного.
На что жалуетесь?
18.09.2008, 15:32
CandyMAN

[QUOTE=Rene-gad;285297]В логах ничего подозрительного.
На что жалуетесь?[/QUOTE]

Сейчас уже сложно на что-либо жаловаться так как трафика уже нет.
Постараюсь в ближайшее время выделить трафика и проверить на утечку.

Проверка показала, что проблема решена ...
Но похоже, что проблема появилась еще на одной машине в сети .... (((
Как только уточню создам новую тему.
22.02.2009, 08:04
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]