Printable View
добрый вечер!
после установки лимитированного трафика, стал следить за ним и ужаснулся. сегодня за полчаса сожрало около 50 Мб при чем я практически не пользовался интернетом. я выключил браузер и все программы какие только могут апдейт делать и все равно трафик кушался. через netsatat посмотрел и впрямь конектится к какому то айпи. проверил своим антивирусом нашел 7 троянов но трафик все равно жрется :(
прошу помочь.
логи выложил
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ws2_32sik');
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('securentm');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
DeleteService('port135sik');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
DeleteService('nicsk32');
DeleteService('netsik');
DeleteService('ksi32sk');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('fips32cup');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteService('ati64si');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('amd64si');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
DeleteService('acpi32');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
у меня в карантине почему то пусто...
новые логи, а карантин пуст
Выполните скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('i386si');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('i386si');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите пункт 2 диагностики...
выполнил скрипт.
лог прикладываю
но все равно при отключеном браузере он куда то конектится и за минуту больше 1 Мб трафика уходит
приложил принтскрин
у меня за несколько минут жрет около 5 Мб :(
Сделайте полную проверку AVPTool...
В логах чисто, установите SP3+all updates...
ok, спасибо, попробую
[size="1"][color="#666686"][B][I]Добавлено через 22 минуты[/I][/B][/color][/size]
проверил AVPTool нашел еще 4 трояна, вернее одного и того же но в 4 местах.
но трафик по прежнему жрется в течении нескольких минут 1-2 МБ :(
подскажите пожалуйста как с этим бороться
Сделайте комплект логов этим АВЗ: [url]www.z-oleg.com/avz.exe[/url]
вот логи сделанные с помощью программы с последней ссылки
Установите AVZPM и повторите логи...
Где взять AVZPM? и выложенные мною последние логи не те?
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
этот АВЗ отличается от того которым сделал логи я?
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
Ребята помогите пожалуйста с этим разобраться
[url]http://virusinfo.info/showthread.php?t=12316[/url]
только что антивирус еще парочку троянов подловил написал соединение прервано, подозрение на видоизмененный файл и т.д.
во время лечения антивирус нужно отключать ...
вот логи с AVZPM
во время сбора логов антивирус я отключаю
лог [url]http://www.gmer.net/[/url] сделайте
скачал программу, сделал логи
Ничего плохого...
и еще у меня на фтп index.php испоганился сайт заливаешь нормальный файл, а он его там обрезает и свой код добавляет:
[COLOR="Red"]moderated[/COLOR]
и отправляет там по ходу на три каких то сайта мне кажется он уменя на них и конектится постоянно
[COLOR="Red"]moderated[/COLOR]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
сайт - mxxxxxxx.yy/index.php
[size="1"][color="#666686"][B][I]Добавлено через 49 минут[/I][/B][/color][/size]
на фтп он заражает некоторые php файлы, там вроде удалось удалить его вмешательство сайт сейчас стал нормально работать, но остался ли он у меня на компе не знаю :(
Поменяйте пароли на доступ к сайту, их, видимо, спёрли.
уже поменял
просканировал комп spyware nuker, было обнаружено TRojan.user в регистре, только удалить не смог из за того что у меня не лицензионная версия :( вот тут:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WS2_32SIK
как его удалить не знаю
Это не троян, а следы присутствия какой-то службы. Может, и троянской, конечно. Но если остался только след в реестре, а сам файл отсутствует...
А эти ключи вообще трогать не рекомендуется, не зря система их защищает.
ok спасибо, но мой комп все равно конектится на 65.54.81.165 :(
[QUOTE=Tolik_79;385543]мой комп все равно конектится на 65.54.81.165 :([/QUOTE]
Обновляться винда хочет :) [url]https://ws.arin.net/whois/?queryinput=65.54.81.165[/url]
ааааааа ну так это я включил обновление по совету Гриши, а до этого вроде другой айпи был
[size="1"][color="#666686"][B][I]Добавлено через 5 часов 24 минуты[/I][/B][/color][/size]
с помощью выше показанной ссылки проверил айпи адреса на которые конектится мой комп. один из них это как вы написали это windows обновляется, а вот несколько остальных это один и тот же сайт с разными айпи например 93.184.71.27, 84.53.134.32
Country: NL
ReferralServer: whois://whois.ripe.net:43
NetRange: 84.0.0.0 - 84.255.255.255
CIDR: 84.0.0.0/8
NetName: 84-RIPE
NetHandle: NET-84-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: NS-PRI.RIPE.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: SUNIC.SUNET.SE
NameServer: TINNIE.ARIN.NET
NameServer: NS3.NIC.FR
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at [url]http://www.ripe.net/whois[/url]
RegDate: 2003-11-17
Updated: 2004-03-16
а это что за сайт?
[QUOTE=Tolik_79;385752]
с помощью выше показанной ссылки проверил айпи адреса на которые конектится мой комп.[/QUOTE]Ну если Вам arin дает направление поиска на ripe, то и ищите на ripe
[url]http://www.db.ripe.net/whois/?form_type=simple&full_query_string=&searchtext=93.184.71.27[/url] :>
спасибо, только что это за сайты, только я на них не заходил...
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
зачем у меня они вылазят, если даже браузер закрыт?
может кто подскажет как мне заблокировать доступ на эти айпи
все так же и остается не решенной проблема :(
[QUOTE=Tolik_79;385951]может кто подскажет как мне заблокировать доступ на эти айпи
все так же и остается не решенной проблема :([/QUOTE]Может все-таки почитаете мануал к Вашему файрволу :rtfm: или поищете в [URL="http://lmgtfy.com/?q=%D0%B7%D0%B0%D0%B1%D0%BB%D0%BE%D0%BA%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D1%82%D1%8C+%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF+%D0%BD%D0%B0+%D0%B0%D0%B9%D0%BF%D0%B8"]гугле[/URL] ?
установил Outpost PRO 2008 и поставил запрет на IP 87.248.xxx.xxx
эти соединения постоянно блокируются, при чем постоянно разные айпи, но источник я так и не нашел sad.gif
12:42:18 AVP.EXE OUT TCP cds558.frf.llnw.net 80 *Блокировать Исходящее TCP на HTTP #9
вот такое сообщение мне выдает Outpost
проблему устранил просто блокировкой айпи, а причины так никто назвать и не может... никто так и ни смог определить источник, а жаль ...