Подозрение на вирусы

Printable View

24.02.2009, 18:32
alex1752

Вложений: 3

Подозрение на вирусы

С компьютером творится следующая проблема:
- не всегда открывает страницы ( к примеру, при отправке письма с вэб интерфейса маил ру, при нажатии "прикрепить файл" или "отправить письмо" выдается Невозможно найти удаленный сервер

- Часто загрузка CPU составляет 85 - 100 % , при этом выгружено все, кроме апача и мускула. В диспетчере процессов ниодного процесса нет с загрузкой более 15 % ( чаще максимальное 8 - 12 % ) один-два процесса , а остальные 0-2 %

- KIS часто ругается на ДДоС атаку с айпи 192.168.100.1 ( это айпи данного компа внутри сети ) на порт 4554 и 4371 , а так же часто на
[QUOTE]23.02.2009 10:01:25 Intrusion.Win.MSSQL.worm.Helkern! IP-адрес атакующего: 127.0.0.1. Протокол/сервис: UDP на локальный порт 1434. Время: 23.02.2009 10:01:25
[/QUOTE]
24.02.2009, 22:43
alex1752

Забыл еще упомянуть о дефрагментации:
Он порой пишет, что програма дефрагментации не установлена, то, что доступ закрыт админом, то дефрагментирует , но вываливает ошибку "не возможно дефрагментировать некоторые файлы на данном томе"

Плюс на диске E ( не системном ) висит папочка [QUOTE]3409680362eefbc2dab379e24d[/QUOTE] , в которую можно зайти , но в ней еще папка update , в которую доступа нет никакого. И запрещена она для всех групп, кроме непонятной группы наподобии DbA7frAZkkStW-NpRty15Hhnts-RfddAAas ( это примерное написание группы , которая есть в списке на разрешение ) , а такой на компе нет вообще.

Пока писал мессагу, каспер написал о IE, который чтото пытался изменить, в том числе и в реестре :

[QUOTE]Перехвачена попытка записи значения в ключе системного реестра, который входит в группу Internet Explorer Plugins. Эти ключи контролируют параметры работы плагинов браузера Microsoft Internet Explorer.

Рекомендуется разрешить доступ к этим параметрам только в том случае, если вы действительно хотите их изменить. В остальных случаях рекомендуется запретить доступ.

Ключ: HKEY_USERS\S-1-5-21-2000478354-813497703-682003330-500\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser

Значение: ITBarLayout

Старые данные(Free form binary):
11 00 00 00 4c 00 00 00 00 00 00 00 34 00 00 00 1f 00 07 00 a3 00 00 00 01 00 00 00 20 07 00 00 a0 0f 00 00 05 00 00 00 62 05 00 00 26 00 00 00 02 00 00 00 21 07 00 00 a0 0f 00 00 04 00 00 00 21 01 00 00 a0 0f 00 00 03 00 00 00 20 03 00 00 00 00 00 00 07 00 00 00 21 07 00 00 81 00 00 00 06 00 00 00 20 05 00 00 00 00 00 00 08 00 00 00 21 05 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 02 ba f2 eb 94 90 5a 4c 85 8b bb 19 8f 3d 8d e2 f7 d7 ff 3a 3d fd 9d 4c 8f 83 03 29 6a 1a 88 40 e8 0d 90 09 ca 1d 3f 44 92 43 26 ff 58 14 38 af 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

Новые данные(Free form binary):
11 00 00 00 4c 00 00 00 00 00 00 00 34 00 00 00 1f 00 07 00 a3 00 00 00 01 00 00 00 20 07 00 00 a0 0f 00 00 05 00 00 00 62 05 00 00 26 00 00 00 02 00 00 00 21 07 00 00 a0 0f 00 00 04 00 00 00 21 01 00 00 a0 0f 00 00 03 00 00 00 20 03 00 00 00 00 00 00 07 00 00 00 21 03 00 00 81 00 00 00 06 00 00 00 20 05 00 00 00 00 00 00 08 00 00 00 21 05 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 02 ba f2 eb 94 90 5a 4c 85 8b bb 19 8f 3d 8d e2 f7 d7 ff 3a 3d fd 9d 4c 8f 83 03 29 6a 1a 88 40 e8 0d 90 09 ca 1d 3f 44 92 43 26 ff 58 14 38 af 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
[/QUOTE]

Не могу копирнуть основное из логов ( каспер виснуть начал ) , но перед этим написал об изменении от Frontpage.exe и от excel.exe ( а все эти приложения сейчас не запущены )

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 58 минут[/I][/B][/color][/size]

Обо мне забыли ? :(
24.02.2009, 23:20
Гриша

Установите AVZPM и повторите логи...
25.02.2009, 00:07
alex1752

Вложений: 3

Пока делал новые логи, как ненормальный пытался подключиться интернет ( соединение PPPoE )
25.02.2009, 00:28
Гриша

В логах чисто, установите SP3+all updates...
25.02.2009, 00:59
alex1752

А меня еще смущает файл hosts ... Чтото в нем вроде лишнее прописано. Подтереть ?

[size="1"][color="#666686"][B][I]Добавлено через 27 минут[/I][/B][/color][/size]

Вспомнил еще старую програмку ( Trojan Remover ), он вот на что ругается:
[QUOTE]C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"[/QUOTE]
А каспер начал орать про червя SQL но уже другие сервера:
[QUOTE]25.02.2009 0:48:45 Intrusion.Win.MSSQL.worm.Helkern! IP-адрес атакующего: 58.20.222.30. Протокол/сервис: UDP на локальный порт 1434. Время: 25.02.2009 0:48:45
25.02.2009 0:50:04 Intrusion.Win.MSSQL.worm.Helkern! IP-адрес атакующего: 211.24.8.183. Протокол/сервис: UDP на локальный порт 1434. Время: 25.02.2009 0:50:04

[/QUOTE]
26.02.2009, 04:00
alex1752

Спасибо всем за помощь. Всетаки комп был завирусован . Вылечилось все чисткой нодом и перестановкой винды ( переставлял с очисткой папки виндоус без форматирования харда )
Все , теперь загрузка CPU со всеми серверами не более 50 % ... Осталось только G6FTP восстановить :)
27.02.2009, 03:53
alex1752

Мда, рано обрадовался. Понеслась ***** по кочкам. Комп начал сам перезагружаться, при этом kis 2009 ругается на:
Intrusion.Win.HTTPD.GET.buffer-overflow.exploit
и
Scan.Generic.UDP

И все это с IP 192.168.150.2 ( а этот IP моего ноута )
На ноуте стоит НОД32 смарт секюрити , проверил куреАЙТИ. Вроде все чисто. Откуда логи кидать ? С компа который показывает эти атаки, или с ноута ?
27.02.2009, 12:49
Alex_Goodwin

С ноута, в отдельную тему.
28.02.2009, 07:24
pig

А на эту систему заплатки ставить.