Показано с 1 по 16 из 16.

Постоянный обмен пакетами (заявка № 63591)

  1. #1
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    21
    Вес репутации
    53

    Thumbs up Постоянный обмен пакетами

    После инфицирования компьютера вирусом, который показывает информер File Downloader и самостоятельного его удаления было замечен подозрительный обмен пакетами при включенном интернете и выключенных всех известный мне программ.

    Обмен пакетами происходит постоянно, вероятно это вирус или измененные настройки, полученные от удаленной вышеуказанной программы.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [servises] C:\WINDOWS.1\system32\servises.exe
    O4 - HKCU\..\Run: [servises] C:\WINDOWS.1\system32\servises.exe
    O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS.1\system32\servises.exe
    O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS.1\system32\servises.exe
    Сделайте лог gmer.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    21
    Вес репутации
    53
    Фикс с 4-мя эксешками помог решить проблему не полностью. После фикса, примерно за час наблюдения, сформировался такой неопознанный трафик:

    Отправлено - ~35Мб
    Принято - ~50Мб

    Хочу уточнить, что это, примерно, в два раза меньше, чем до фикса сервисных эксешек.

    Браузеры и другой софт мною не использовался в процессе анализа.

    Ранее такого никогда не было...

    Требуемый лог в аттач.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS.1\system32\drivers\tslkf.sys','');
    DeleteFile('C:\WINDOWS.1\system32\drivers\tslkf.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RegKeyResetSecurity( 'HKLM', 'SYSTEM\CurrentControlSet\Services\tslkf');
    RegKeyResetSecurity( 'HKLM', 'SYSTEM\ControlSet001\Services\tslkf');
    RegKeyResetSecurity( 'HKLM', 'SYSTEM\ControlSet002\Services\tslkf');
    RegKeyResetSecurity( 'HKLM', 'SYSTEM\ControlSet004\Services\tslkf');
    RegKeyDel( 'HKLM', 'SYSTEM\CurrentControlSet\Services\tslkf');
    RegKeyDel( 'HKLM', 'SYSTEM\ControlSet001\Services\tslkf');
    RegKeyDel( 'HKLM', 'SYSTEM\ControlSet002\Services\tslkf');
    RegKeyDel( 'HKLM', 'SYSTEM\ControlSet004\Services\tslkf');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=63591).
    Повторите п.2 раздела Диагностика и лог gmer.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    21
    Вес репутации
    53
    готово

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Выложили старый лог gmer'a.

  8. #7
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    21
    Вес репутации
    53
    Нет, старый был удален заблаговременно. По времени сохранения файла это видно. Наверное, не помогло ничего, раз нет изменений в логе после выполнения скрипта.

    К сожелению, также нет и решения искомой проблемы.

    P.S.
    прежний файл - Rootkit scan 2009-12-14 17:42:59

    последний файл - Rootkit scan 2009-12-14 20:09:58

    Добавлено через 1 час 7 минут

    Возможно это поможет в поиске решения.

    У этого файла tslkf.sys имеется характерная особенность - он появляется при загрузке и имеет всегда атрибут "дата/время изменения файла" согласно с установленной датой/временем на зараженном компьютере.
    Последний раз редактировалось restore; 14.12.2009 в 20:40. Причина: Добавлено

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Зараза лезет к Вам из сети

    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.20733)
    Обновляйтесь

    Logfile of Trend Micro HijackThis v2.0.3 (BETA)
    Более древней версии утилиты не нашлось?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    21
    Вес репутации
    53
    Цитата Сообщение от thyrex Посмотреть сообщение
    Более древней версии утилиты не нашлось?
    В топ10 Google новее ничего нет. Помогите плиз с линком на нужную версию.

    С остальным - сейчас обновлюсь. Но не думаю, что он лезет из сети, т.к. я его удаляю с выключенным кабелем, перегружаюсь и вновь без кабеля смотрю, а он на месте и никак не отвяжется...

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от restore Посмотреть сообщение
    В топ10 Google новее ничего нет. Помогите плиз с линком на нужную версию.
    Неужели в правилах ссылку не нашли?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    21
    Вес репутации
    53
    Цитата Сообщение от thyrex Посмотреть сообщение
    Неужели в правилах ссылку не нашли?
    Видел перед тем, как писать предыдущий пост и у Вас в подписи покликал, но был убежден, что версия v2.0.3 более новая (пусть и бета), нежели v2.0.2.

    Спасибо за линк, логика подвела значит меня

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от restore Посмотреть сообщение
    версия v2.0.3 более новая (пусть и бета), нежели v2.0.2.
    Упс, это меня память подвела У Вас новее, но все же лучше стабильная версия, чем бета
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Давайте попробуем так:

    1. Выполните этот скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
    SetServiceStart('tslkf', 4);
    RebootWindows(true);
    end.
    2. После перезагрузки - снова скрипт из сообщения #4.

    Потом повторите лог гмер.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    21
    Вес репутации
    53
    Передача пакетов остановлена, огромное спасибо!

    лог гмер в аттач.

    Согласно рекомендациям специалистов этого форума, провел глобальные обновления

    - поставил SP3, обновился на 100%
    - установил IE8 со всеми обновлениями
    - Aвире Премиум вынес жесткий вердикт, заменив на более дорогой KIS-2010
    - Поставил заплавки на все уязвимости, на которые ругался KIS-2010

    Вероятно, из-за настроек KIS на высокую безопасность, при открытии папок с большим кол-вом файлов - виснит такое окно и отсреливается только в диспечере задач.

    Достаточно ли использовать дефолтные настройки KIS-2010 для обеспечения высокой безопасности?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логе чисто, враг побежден

    Дефолтных настроек для начала достаточно, потом разберетесь в нюансах, подкрутите настройки для себя.
    I am not young enough to know everything...

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) restore, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 17.08.2009, 10:42
    2. Я ПОД ОГНЕМ!
      От Hacker-Andrey в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 25.03.2009, 19:08
    3. Ответов: 1
      Последнее сообщение: 17.01.2009, 15:43
    4. Обмен мнениями KAV vs Dr.Web
      От Lamazz в разделе Антивирусы
      Ответов: 42
      Последнее сообщение: 11.03.2008, 22:18
    5. Сайт с пакетами драйверов
      От PavelA в разделе Аппаратное обеспечение
      Ответов: 0
      Последнее сообщение: 25.01.2008, 12:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00713 seconds with 19 queries