Не понятные атаки

Printable View

22.06.2009, 16:15
[HaZZarD]

Вложений: 4

Не понятные атаки

Как-то на днях интернет тупо перестал функционировать, просто не куда не конектит, в браузере идет загрузка и белая страница пустая (во всех браузерах). Или очень медленно работает. Но после перезагрузки компа, минут 20-30, а то и пол дня, все может работать ок, но потом опять тоже самое.

По началу грешил на провайдера, но потом после пинга на днс'ы прова и внешнюю сеть, понял что дела не в нем. Заглянул я в Outpost FW в Журнал событий -> Журнал пакетов и атак, и там я увидел что то похожее на ддос атаку (снизу скрин) каждую секунду по закрытым портам бьются с разных IP и ещё всякий netbios трафик. Интернет естественно по старту системы ещё как-то работает с очень медленной скоростью, но потом или пров отрубает или фаервол уже все подряд мочит без разбора. В системе стоит Outpost FireWall, NOD32 v.4 т.к. нод32 пропустил его решил снести его и поставить Dr.Web триальный, прошелся по системе нашел один вир, а остальное так по мелочи: кряки, трейнеры, кигены, ну я их естественно тоже почистил.
Потом пошел в безопасный режим, там я прошелся AVZ он нашел пару подозрительных файла

[QUOTE]C:\Program Files\Adobe\Adobe After Effects CS3\Support Files\AELinkServer2.exe >>> подозрение на P2P-Worm.Win32.Nugg.an ( 0061CFC9 08CD5FC5 001D299B 001FCE35 188416)

C:\WINDOWS\system32\cncs32.dll >>> подозрение на Trojan-Banker.Win32.Banker.afwk ( 07CEC754 02848D70 00191BC5 00178ABD 172032)
[/QUOTE]

Все подтер.

Торможения самой системы не замечаю. Но виновника атак до сих пор не могу выявить. Хотелось бы обойтись без переустановки системы.

В общем вот все 3 лога (делал в безопасном режиме).
22.06.2009, 16:28
Wild Spirit

[CODE]Восстановление системы: включено[/CODE]
Должно быть выключено
[CODE]Система загружена в режиме защиты от сбоев с поддержкой сети (SafeMode)
[/CODE]
Переделайте логи в нормальном режиме.
22.06.2009, 17:19
[HaZZarD]

Вложений: 3

Новые логи

Вот сделал новые логи.
22.06.2009, 17:34
Wild Spirit

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\xampp\service.exe','');
QuarantineFile('C:\Temp\lac97inf.sys','');
QuarantineFile('C:\Temp\catchme.sys','');
StopService('XAMPP');
StopService('lac97inf');
StopService('catchme');
DeleteService('XAMPP');
DeleteService('lac97inf');
DeleteService('catchme');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('XAMPP');
BC_DeleteSvc('lac97inf');
BC_DeleteSvc('catchme');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

Компьютер перезагрузится.

После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите[/URL] темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи в [B]нормальном режиме[/B].
[B]virusinfo_syscure.zip
virusinfo_syscheck.zip[/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] ([url]http://virusinfo.info/upload_virus.php?tid=48485[/url]) вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
22.06.2009, 19:01
[HaZZarD]

Вложений: 2

Новые логи

Я залил 2 архива карантина т.к. по разным датам были, я не стал уже соеденять.
22.06.2009, 19:53
Wild Spirit

Остались какие-то проблемы?
23.06.2009, 19:45
[HaZZarD]

[QUOTE=Wild Spirit;421147]Остались какие-то проблемы?[/QUOTE]
Да, все те же.
23.06.2009, 19:54
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZGuardStatus(True);
DeleteService('Bonjour Service');
DeleteFile('%programfiles%\bonjour\mdnsresponder.exe');
DeleteFile('%programfiles%\bonjour\mdnsNSP.dll');
DeleteFile('%programfiles%\Bonjour\ExplorerPlugin.dll');
DelCLSID('{9999A076-A9E2-4C99-8A2B-632FC9429223}');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
ExecuteRepair(14);
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
23.06.2009, 21:03
[HaZZarD]

Вложений: 3

Все то же :(

Какие ещё предложения? Атаки участились теперь сканят порты и атакуют с сотен разных IP.
24.06.2009, 12:55
Rene-gad

[QUOTE='[HaZZarD];422168'] Атаки участились теперь сканят порты и атакуют с сотен разных IP.[/QUOTE]
Проверьте IP по [url]http://ws.arin.net/whois/[/url]
24.06.2009, 13:07
[HaZZarD]

Ethernet 00-1a-4d-9a-ba-46 ff-ff-ff-ff-ff-ff Заблокировано Детектором атак

Сейчас вообще с не понятных атакует, а толку то проверять IP?

Вот основной [URL="http://ws.arin.net/whois/?queryinput=169.254.254.136"]атакующий[/URL].
24.06.2009, 13:12
Rene-gad

Malwarebytes Antimalware (google в руки) скачать, сделать полную проверку, лог - в студию.
И лог gmer сделайте (см. в разделе Чаво).
24.06.2009, 18:09
[HaZZarD]

Вложений: 2

Вот логи Anti-Malware. Скоро GMER сделаю, сколько будет ~200 Гб сканироваться?

Омг, при скане этой прогой половину драйверов послетало, накрыло браузер и вообще все. Но после перезагрузки все норм, только у браузера настрйоки слетели.

Вот логи GMER

сори за даблпостинг
24.06.2009, 19:45
Rene-gad

Значит так:
- ничего плохого в логах не видно;
- Малваребайтс Вам какую-то прогу вчистую снес, надеюсь что она Вам не здорово нужна;
- атаки если и идут, то Вы тут ничего сделать не можете, т.к. они идут снаружи.

Если у Вас остались сомнения - переустановите Винду.
24.06.2009, 19:57
[HaZZarD]

Да я логи сам все просматриваю, та прога не нужна была.
Дак как такое может быть, если у меня IP динамичный, а атаки все с тех же IP.
И ещё почему-то перестали обновления скачиваться через командную строку [B]wuauclt.exe /detectnow[/B] не какой реакции и просто [B]wuauclt.exe[/B]. А через панель управления все ок, может сможете подсказать зеркала обновления или где можно безопасно посвежее скачать.
24.06.2009, 20:04
Rene-gad

[QUOTE='[HaZZarD];422436']сможете подсказать зеркала обновления или где можно безопасно посвежее скачать.[/QUOTE][url]www.windowsupdate.com[/url] - другого нет и не будет.
На другие Ваши [I]почему[/I] у меня к сожалению нет вразумительных ответов. :)
24.06.2009, 20:34
pig

[QUOTE='[HaZZarD];422436']как такое может быть, если у меня IP динамичный, а атаки все с тех же IP.[/QUOTE]
А кто сказал, что атакуют лично вас? Червяки бьют по площадям.
24.06.2009, 20:41
[HaZZarD]

Ладно, спасибо все равно. Если что ещё накопаю, напишу.
25.06.2009, 20:41
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]