Показано с 1 по 18 из 18.

Подозрительная сетевая активность (заявка № 113170)

  1. #1
    Junior Member Репутация
    Регистрация
    17.07.2009
    Сообщений
    15
    Вес репутации
    31

    Подозрительная сетевая активность

    Здравствуйте, уважаемые хелперы!

    Вчера во время того, как компьютер был подключен к сети, DrWeb откуда-то выловил DDoS.Pamela и якобы обезвредил. Чуть позже - та же история, только поймал он уже Trojan.Siggen. Я сразу полез в AVZ и заметил целую пачку подозрительных соединений от PID 4 и PID 0. Также нашлась DLL-ка в Temp'е (имя было довольно кривое и по нему ничего не гуглилось), которую раньше там не видел и, судя по всему, не должен был - снес средствами AVZ. Но те самые подозрительные соединения после этого никуда не делись.

    Помогите разобраться, пожалуйста.

    P.S.
    За dwe и fmon можно не переживать - свои.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,460
    Вес репутации
    342
    Уважаемый(ая) greyfox, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    17.07.2009
    Сообщений
    15
    Вес репутации
    31
    Еще делалось полное сканирование MBAM с базами 8271. Ничего не нашлось, кроме пары кряков на своих местах и более интересного:
    c:\system volume information\_restore{1ea43a15-734a-469e-b042-4257c144d31a}\RP261\A0061258.exe (Trojan.Agent.CK) -> No action taken.
    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702
    Последний раз редактировалось greyfox; 30.11.2011 в 14:07.

  5. #4
    Student (P) Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для crush13
    Регистрация
    28.05.2010
    Адрес
    Курган
    Сообщений
    680
    Вес репутации
    54
    greyfox, Сделайте лог полного сканирования MBAM. Приложите к сообщению
    [RIGHT][URL="http://z-oleg.com/avz4.zip"]AVZ[/URL] [URL="http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe"]HijackThis[/URL] [URL="http://virusinfo.info/pravila.html"]Правила раздела "Помогите!"[/URL][/RIGHT]
    [RIGHT][URL="http://virusinfo.info/forumdisplay.php?f=70"]ЧаВО[/URL] [URL="http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1"]Malwarebyte's AntiMalware[/URL][/RIGHT]
    [RIGHT][URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]Актуальные базы АВЗ[/URL][/RIGHT]

  6. #5
    Junior Member Репутация
    Регистрация
    17.07.2009
    Сообщений
    15
    Вес репутации
    31
    Готово.
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Удалите в MBAM:
    Код:
    c:\system volume information\_restore{1ea43a15-734a-469e-b042-4257c144d31a}\RP261\A0061258.exe (Trojan.Agent.CK) -> No action taken.
    - Выполните в AVZ скрипт из файла ScanVuln.txt
    - Откройте файл avz_log.txt из под-папки LOG.
    - Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
    - Перезагрузите компьютер.
    - Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

  8. #7
    Junior Member Репутация
    Регистрация
    17.07.2009
    Сообщений
    15
    Вес репутации
    31
    В MBAM удалил указанное.
    Скрипт выполнил - нашлись уязвимости во Flash Player и Java. Новые версии установил. После перезагрузки и повторного выполнения скрипта вижу сообщение о том, что по распространенным уязвимостям все чисто.

    Только вот эти странные подключения все еще наблюдаются - прицепил файл.
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    17.07.2009
    Сообщений
    15
    Вес репутации
    31
    Может я могу еще что-то попроверять? Боязно теперь сёрфить с таким...

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Браузером каким пользуетесь?

  11. #10
    Junior Member Репутация
    Регистрация
    17.07.2009
    Сообщений
    15
    Вес репутации
    31
    Mozilla Firefox 8.0. После его запуска появляются соединения от System через 445 порт и остаются даже после закрытия браузера.

    Если перезагрузиться и открыть, например, Opera, то такого не наблюдается.

    Еще AVZ всегда при сёрфинге видит подключения на разные IP от PID 0 (норма?).

    Спасибо за помощь!

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383

  13. #12
    Junior Member Репутация
    Регистрация
    17.07.2009
    Сообщений
    15
    Вес репутации
    31
    Сделал.
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    - Удалите ComboFix.

    В логах ничего необычного.

    Если проблема только с Мозиллой, попробуйте создать новый профиль в ней.

  15. #14
    Junior Member Репутация
    Регистрация
    17.07.2009
    Сообщений
    15
    Вес репутации
    31
    Цитата Сообщение от Techno Посмотреть сообщение
    Если проблема только с Мозиллой, попробуйте создать новый профиль в ней.
    Поэкспериментировав, выяснил, что подключения от System на 445 порт появляются в любом случае (даже если вообще не трогать ни браузеры, ни какие-то другие приложения) после пары минут с момента подключения к сети. А подключения от неизвестных процессов (которые PID 0) накапливаются по мере сёрфинга.

    Еще заметил, что на днях изменилась иконка у Windows Update:
    wu.jpg

    Проверял wuauclt1.exe и wuauclt.exe на virustotal - все ок.

    Товарищи хелперы, подскажите, пожалуйста:
    1) Может есть какие-то хотя бы предположения по подключениям от System?
    2) Нормально ли появление подключений от неизвестных процессов во время сёрфинга по сети?
    3) Что думаете по диалогу Windows Update?

    Большое спасибо за помощь!

  16. #15
    Junior Member Репутация
    Регистрация
    17.07.2009
    Сообщений
    15
    Вес репутации
    31
    Скажите хотя бы - ждать ответа или не рассчитывать?

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    В логах ничего необычного, скорее всего Вас атакуют извне. настраивайте файерволл/закрывайте порт.

  18. Это понравилось:


  19. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    За dwe и fmon можно не переживать - свои.
    это случаем не от Fortinet Inc?
    Paula rhei.
    Поддержать проект можно тут

  20. #18
    Junior Member Репутация
    Регистрация
    17.07.2009
    Сообщений
    15
    Вес репутации
    31
    Цитата Сообщение от Techno Посмотреть сообщение
    В логах ничего необычного, скорее всего Вас атакуют извне. настраивайте файерволл/закрывайте порт.
    Понял, большое спасибо.

    Цитата Сообщение от миднайт Посмотреть сообщение
    это случаем не от Fortinet Inc?
    Нет, самописное оно.

  • Уважаемый(ая) greyfox, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрительная сетевая активность
      От bs2003 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 16.09.2010, 21:16
    2. Подозрительная сетевая активность
      От sclaus в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 31.10.2009, 10:37
    3. Подозрительная сетевая активность
      От Brother Micro в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.01.2009, 16:36
    4. Подозрительная сетевая активность
      От Web-Silver в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.12.2008, 14:48
    5. Подозрительная сетевая активность
      От fudder в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 04.10.2008, 15:18

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00802 seconds with 17 queries