Вложений: 1
Вирус\Троян плотный обмен пакетами с прокси сервером
Здравствуйте, ух... не знаю даже с чего начать, поставил себе Windows Vista, не успел скачать антивирус, как подцепил трояна... который сделал из меня прокси, после подключения к интернету, через 5 минут, моя скорость падает до 1% от общей, с меня идут пакеты на адрес 92.122.216.235
tun0 32 Flows Total: 2079K 123K
Source Destination Protocol Size CPS
--------------------------------------------------------------------------------
92.122.216.235,http 172.16.0.5,49743 tcp 664K 8094
92.122.216.235,http 172.16.0.5,49742 tcp 614K 28K
92.122.216.235,http 172.16.0.5,49750 tcp 598K 23K
92.122.216.235,http 172.16.0.5,49753 tcp 542K 1460
213.174.149.47,http 172.16.0.5,49715 tcp 528K 11K
92.122.216.235,http 172.16.0.5,49741 tcp 527K 2979
92.122.216.235,http 172.16.0.5,49744 tcp 511K 5666
92.122.216.235,http 172.16.0.5,49745 tcp 495K 5451
92.122.216.235,http 172.16.0.5,49740 tcp 479K 3970
92.122.216.235,http 172.16.0.5,49751 tcp 471K 7121
92.122.216.235,http 172.16.0.5,49747 tcp 446K 4088
92.122.216.235,http 172.16.0.5,49752 tcp 440K 9539
92.122.216.235,http 172.16.0.5,49749 tcp 433K 5396
92.122.216.235,http 172.16.0.5,49748 tcp 406K 10K
92.122.216.235,http 172.16.0.5,49746 tcp 309K 4088
172.16.0.5,49743 92.122.216.235,http tcp 12K 99
172.16.0.5,49750 92.122.216.235,http tcp 11K 328
172.16.0.5,49742 92.122.216.235,http tcp 10K 404
172.16.0.5,49715 213.174.149.47,http tcp 10K 184
172.16.0.5,49747 92.122.216.235,http tcp 9K 132
172.16.0.5,49740 92.122.216.235,http tcp 9820 109
172.16.0.5,49749 92.122.216.235,http tcp 9796 143
172.16.0.5,49741 92.122.216.235,http tcp 9708 70
172.16.0.5,49751 92.122.216.235,http tcp 9504 306
172.16.0.5,49753 92.122.216.235,http tcp 8928 47
172.16.0.5,49744 92.122.216.235,http tcp 8068 121
172.16.0.5,49745 92.122.216.235,http tcp 7924 109
172.16.0.5,49752 92.122.216.235,http tcp 7620 145
172.16.0.5,49748 92.122.216.235,http tcp 7148 142
взаимный обмен пакетов
Искал по примерным описаниям его в интернете и на сайте, ничего подходящего не обнаружил, даже название его не знаю...
При сканировании Dr.Web`ом папок:
C:\Documents and Settings
C:\Users
у меня вылетает синий экран, защита вируса...
попытался с помощью Dr.Web Live CD прогнать(почему-то у меня не захотел загружаться он под графическим интерфейсом, так что скан был под консолью), обнаружил 5 вирусов, 2-а удалил, 3-и вылечил вроде как, эффекта не обнаружил, сисадми забанил IP 92.122.216.235, так что потери трафика пока не чувствую, и подходящего Сниффера ещё для Висты найти не удалось, чтобы увидеть передачи пакетов, но по скольку при повторном скане Dr.Web`ом проблема с Синем Экраном не прошла, выходит что зараза ещё жива, просто заблокирована.
Только что прогнал AVZ, ничего обнаружено не было, и вылета с Синим Экраном не наблюдаю, из-за проблемы с ним, логов скинуть не могу.
Прощу помощи в решении проблемы, заранее спасибо.
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
ааа ещё забыл добавить то, что у меня папка Windows после этого весила 13Гб, я день назад ставил винду, она занимала 7-8Гб где-то.... начал искать что же там столько места занимает, нашёл C:\Windows\SoftwareDistribution\Download в которой было огромное множество папок, в которых хранились файлы в среднем 5Мб, в суммарном кол-во на 5Гб.... удалил всё, сейчас папка пуста.
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
ещё в C:\Windows\System32\drivers\etc\hosts
строки:
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
по инфе об айпишнике 92.122.216.235 видно что они одна контора...
прогнал только что AVZ с максимальными настройками:
Типы файлов: все
Проверять архивы
Проверять потоки NTFS
Эвристический анализ: максимальный уровень эвристики
Расширенный анализ
Anti-Root Kit:
Детектировать перехватчики API и RootKit
Блокировать работу RootKit User-Mode
Блокировать работу RootKit Kernel-Mode
Winsock Service Provider:
Проверять настройки SPI\LSP
Поиск клавиатурных перехватчиков
Поиск портов TCP\UDP троянских программ
ничего не обнаружил... сейчас попытаюсь Др.Веб ещё... но почему-то я прям знаю, что Синего Экрана не избежать...
лог прикладываю проверки AVZ
хммм.... странно, пытался проверить Др.Вебом в 1-ый раз, синий экран... потом прогнал AVZ который ничего не нашёл.... щяс попытался снова Др.Вебом, норм проверяет... без синего экрана... проблема устранилась... тоже вирусов не нашёл... я снова здоров :)
П.С.: тему можно закрывать... видать LiveCD Dr.Web`a всё таки меня вылечил... только непонятно почему, после всё равно был Синий Экран...
