-
Junior Member
- Вес репутации
- 53
Постоянный обмен пакетами
После инфицирования компьютера вирусом, который показывает информер File Downloader и самостоятельного его удаления было замечен подозрительный обмен пакетами при включенном интернете и выключенных всех известный мне программ.
Обмен пакетами происходит постоянно, вероятно это вирус или измененные настройки, полученные от удаленной вышеуказанной программы.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [servises] C:\WINDOWS.1\system32\servises.exe
O4 - HKCU\..\Run: [servises] C:\WINDOWS.1\system32\servises.exe
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS.1\system32\servises.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS.1\system32\servises.exe
Сделайте лог gmer.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Фикс с 4-мя эксешками помог решить проблему не полностью. После фикса, примерно за час наблюдения, сформировался такой неопознанный трафик:
Отправлено - ~35Мб
Принято - ~50Мб
Хочу уточнить, что это, примерно, в два раза меньше, чем до фикса сервисных эксешек.
Браузеры и другой софт мною не использовался в процессе анализа.
Ранее такого никогда не было...
Требуемый лог в аттач.
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.1\system32\drivers\tslkf.sys','');
DeleteFile('C:\WINDOWS.1\system32\drivers\tslkf.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyResetSecurity( 'HKLM', 'SYSTEM\CurrentControlSet\Services\tslkf');
RegKeyResetSecurity( 'HKLM', 'SYSTEM\ControlSet001\Services\tslkf');
RegKeyResetSecurity( 'HKLM', 'SYSTEM\ControlSet002\Services\tslkf');
RegKeyResetSecurity( 'HKLM', 'SYSTEM\ControlSet004\Services\tslkf');
RegKeyDel( 'HKLM', 'SYSTEM\CurrentControlSet\Services\tslkf');
RegKeyDel( 'HKLM', 'SYSTEM\ControlSet001\Services\tslkf');
RegKeyDel( 'HKLM', 'SYSTEM\ControlSet002\Services\tslkf');
RegKeyDel( 'HKLM', 'SYSTEM\ControlSet004\Services\tslkf');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=63591).
Повторите п.2 раздела Диагностика и лог gmer.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
-
Выложили старый лог gmer'a.
-
-
Junior Member
- Вес репутации
- 53
Нет, старый был удален заблаговременно. По времени сохранения файла это видно. Наверное, не помогло ничего, раз нет изменений в логе после выполнения скрипта.
К сожелению, также нет и решения искомой проблемы.
P.S.
прежний файл - Rootkit scan 2009-12-14 17:42:59
последний файл - Rootkit scan 2009-12-14 20:09:58
Добавлено через 1 час 7 минут
Возможно это поможет в поиске решения.
У этого файла tslkf.sys имеется характерная особенность - он появляется при загрузке и имеет всегда атрибут "дата/время изменения файла" согласно с установленной датой/временем на зараженном компьютере.
Последний раз редактировалось restore; 14.12.2009 в 20:40.
Причина: Добавлено
-
Зараза лезет к Вам из сети
Platform: Windows XP
SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer
v7.00 (7.00.6000.20733)
Обновляйтесь
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Более древней версии утилиты не нашлось?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Более древней версии утилиты не нашлось?
В топ10 Google новее ничего нет. Помогите плиз с линком на нужную версию.
С остальным - сейчас обновлюсь. Но не думаю, что он лезет из сети, т.к. я его удаляю с выключенным кабелем, перегружаюсь и вновь без кабеля смотрю, а он на месте и никак не отвяжется...
-
Сообщение от
restore
В топ10 Google новее ничего нет. Помогите плиз с линком на нужную версию.
Неужели в правилах ссылку не нашли?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Видел перед тем, как писать предыдущий пост и у Вас в подписи покликал, но был убежден, что версия v2.0.3 более новая (пусть и бета), нежели v2.0.2.
Спасибо за линк, логика подвела значит меня
-
Сообщение от
restore
версия v2.0.3 более новая (пусть и бета), нежели v2.0.2.
Упс, это меня память подвела У Вас новее, но все же лучше стабильная версия, чем бета
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Давайте попробуем так:
1. Выполните этот скрипт:
Код:
begin
SetAVZGuardStatus(True);
SetServiceStart('tslkf', 4);
RebootWindows(true);
end.
2. После перезагрузки - снова скрипт из сообщения #4.
Потом повторите лог гмер.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Передача пакетов остановлена, огромное спасибо!
лог гмер в аттач.
Согласно рекомендациям специалистов этого форума, провел глобальные обновления
- поставил SP3, обновился на 100%
- установил IE8 со всеми обновлениями
- Aвире Премиум вынес жесткий вердикт, заменив на более дорогой KIS-2010
- Поставил заплавки на все уязвимости, на которые ругался KIS-2010
Вероятно, из-за настроек KIS на высокую безопасность, при открытии папок с большим кол-вом файлов - виснит такое окно и отсреливается только в диспечере задач.
Достаточно ли использовать дефолтные настройки KIS-2010 для обеспечения высокой безопасности?
-
В логе чисто, враг побежден
Дефолтных настроек для начала достаточно, потом разберетесь в нюансах, подкрутите настройки для себя.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-