Показано с 1 по 15 из 15.

вирус , не определяется ни одной антивирусной программой , не виден в процессах (заявка № 13355)

  1. #1
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    7
    Вес репутации
    38

    Exclamation вирус , не определяется ни одной антивирусной программой , не виден в процессах

    Внимание - проблема с вирусом , огромная сетевая активность.

    Есть локальная сеть с выходом в интернет через сервер по ADSL с раздачей через прокси TrafficInspector.

    У всех компьютеров нормально , но у одного из них появилась сетевая активность - это видно и через TrafficInspector на сервере и через сетевое подключение на самом компьютере . Компьютер был проверен антивирусами : NOD32 , DrWEB , Panda , BitDefender , RemoveIt , Kaspersky и т.д.
    НИ одна из них ничего не видит !!!
    Более того - смотрю на компьютере при помощи TCPView , taskinfo, commview - тишина - все молчат и ничего не показывают типа нет сетевых подключений , хотя сетевое подключение в нижнем правом углу не затыкается и в trafficinspectore показываются все подключения данного компьютера и адреса !
    В приложенных скринах вся информация
    1.jpg - taskinfo
    2.jpg - tcpview
    3.jpg - окно Trafficinspectora с сервера.

    Подскажите пожалуйста - какую программу монитор типа taskinfo использовать - чтобы отследить какой процесс и по какому порту все это делает , мне срочно нужно отловить эту нечисть , переустановку винды и установку экрана на компьютер просьба не предлагать.
    Очень надеюсь на ВАШУ помошь !
    Изображения Изображения
    • Тип файла: jpg 3.JPG (208.2 Кб, 13 просмотров)
    • Тип файла: jpg 1.JPG (219.4 Кб, 13 просмотров)
    • Тип файла: jpg 2.JPG (103.5 Кб, 9 просмотров)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Пожалуйста, сделайте логи AVZ и Hijackthis с данной машины ( п.п. 3-14 правил раздела "Помогите") и прикрепите их к теме

  4. #3
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    7
    Вес репутации
    38
    hijackthis.log
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe
    выполните скрипт...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\_svchost.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил....
    сделайте все новые логи...

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    579
    Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
    O23 - Service: Microsoft Internet Explorer - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)
    Последний раз редактировалось SuperBrat; 19.10.2007 в 13:15.
    Опыт — это слово, которым люди называют свои ошибки.

  7. #6
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    7
    Вес репутации
    38
    ВАУ - спасибо большое за мгновенные ответы !
    Файла ntos.exe нету , я его уже давно отследил и удалил.

    скрипт "Скрипт сбора информации для раздела "Помогите!" virusinfo.info во вложении.

    скрипт Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info сделать неудается - система через какое-то время проверки скриптом впадает в синий экран смерти - пробовал несколько раз - одно и тоже.

    Кстати даже при синем экране идет сетевая активность - видно по индикатору на сетевой карте и на сервере по TrafficInspectoru !
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    579
    Опыт — это слово, которым люди называют свои ошибки.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('Fni48.sys','');
    QuarantineFile('F818ECBAFni48.sys','');
     DeleteFile('Fni48.sys');
    DeleteFile('F818ECBAFni48.sys');
    BC_DeleteFile('F818ECBAFni48.sys');
     BC_DeleteFile('Fni48.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить карантин.

    Сделать лог в защищ. режиме:http://virusinfo.info/showthread.php?t=10387
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    7
    Вес репутации
    38
    файла _svchost - тоже не оказалось , видно был ранее и я его уже удалил.

    Нашел только файл userinit , удалил его и вроде все стало ОК !!!

    Numb - V_Bond - SuperBrat - всем гигантское спасибо !!!

    Теперь очень хочеться узнать что это за вирус - я его кинул во вложенный файл - пароль 123 - если нельзя выкладывать - удалите пожалуйста - если можно - скажите что за зверь !!!
    Последний раз редактировалось Shu_b; 19.10.2007 в 15:02.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\windows\system32\drivers\Fni48.sys','');
     DeleteFile('C:\windows\system32\drivers\Fni48.sys');
     RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'userinit');
    BC_ImportALL;
    ExecuteSysClean;
    ClearHostsFile;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    Сделайте новые логи (все три). Ждём-с.

    Добавлено через 2 минуты

    И вот это мне показалось странным:
    c:\program files\common files\acronis\Служба защиты\psh_svc.exe
    Пришлите по правилам на всякий случай.
    Последний раз редактировалось Bratez; 19.10.2007 в 13:25. Причина: Добавлено
    I am not young enough to know everything...

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    579
    Цитата Сообщение от acronis2000 Посмотреть сообщение
    Нашел только файл userinit , удалил его и вроде все стало ОК !!!
    Теперь очень хочеться узнать что это за вирус - я его кинул во вложенный файл - пароль 123 - если нельзя выкладывать - удалите пожалуйста - если можно - скажите что за зверь !!!
    Это не вирус. Вы удалили один из файлов Windows.
    Опыт — это слово, которым люди называют свои ошибки.

  13. #12
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    7
    Вес репутации
    38
    Спасибо за советы - завтра продолжим , так как сегодня рабочий день закончился !
    Кстати потратил полных два дня - даже обидно что не смог победить - раньше всегда разбирался сам - даже когда ни один антивирус не находил - искал через TASKINFO процессы , DLL ки и т.д. а на этот раз ни одна программа не показывает об активности какого либо процесса и меня это очень сильно смущает !!! А трафик все прет и прет !!!

    из всех советов проделал это
    профиксил
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
    O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
    O23 - Service: Microsoft Internet Explorer - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)

    и

    удалил зачемто файл userinit.exe

  14. #13
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    7
    Вес репутации
    38

    продолжение

    Файла 'Fni48.sys' нет в системе , файл psh_svc.exe стоит на всех компах - это служба Acronis.

    скрипт Скрипт сбора информации для раздела "Помогите!" virusinfo - выполняется нормально

    скрипт - Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo - удалось сделать только в безопасном режиме , в обычном режиме вызывает через какое то время синий экран.
    Вложения Вложения

  15. #14
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    7
    Вес репутации
    38
    Да забыл - после перезагрузки из безопасного режима в обычный - вылетает табличка - система восстановлена после серьезной ошибки - хотя я отключил восстановление системы

    Добавлено через 6 минут

    вот еще на сервере вижу активность с данного компьютера к адресу 208.72.169.136 TCP 4099
    Последний раз редактировалось acronis2000; 22.10.2007 в 05:30. Причина: Добавлено

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    579
    Цитата Сообщение от acronis2000 Посмотреть сообщение
    Да забыл - после перезагрузки из безопасного режима в обычный - вылетает табличка - система восстановлена после серьезной ошибки - хотя я отключил восстановление системы
    Это не связано, "восстановление системы" и "система восстановлена" - разные вещи.

    Добавлено через 3 минуты

    Пост http://virusinfo.info/showpost.php?p=143577&postcount=7 не выполнен.
    А эти?
    http://virusinfo.info/showpost.php?p=143578&postcount=8
    http://virusinfo.info/showpost.php?p...1&postcount=10
    Забыли?
    Последний раз редактировалось SuperBrat; 22.10.2007 в 07:48. Причина: Добавлено
    Опыт — это слово, которым люди называют свои ошибки.

  • Уважаемый(ая) acronis2000, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 25.12.2010, 06:00
    2. Вирус не удаляется антивирусной программой (заявка №38308)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 22.11.2010, 18:00
    3. вирус не корректно удаляется антивирусной программой (заявка №17539)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 30.04.2010, 17:00
    4. Вирус не удаляется моей антивирусной программой (заявка №16442)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 25.04.2010, 17:00
    5. Вирус не удаляется моей антивирусной программой (заявка №342)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 3
      Последнее сообщение: 03.02.2010, 13:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00321 seconds with 17 queries