Показано с 1 по 10 из 10.

Интернет канал забит трафиком (заявка № 175730)

  1. #1
    Junior Member Репутация
    Регистрация
    26.12.2014
    Сообщений
    4
    Вес репутации
    12

    Интернет канал забит трафиком

    Имеется статистическая сеть с несколькими выделенными ip адресами.
    При подключении инета канал забивается трафиком на полную (входящим и исходящим), интернет не работает.
    Так же данный компьютер имеет выход в инет через прокси сервер, в этом случае никакого подозрительного трафика нет и локальная сеть работает нормально.
    Проверка Dr.Web CureIt! результата не дает. Установлен Kaspersky Endpoint Security 10 for Windows база постоянно обновляется, так же проверка результатов не дает.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) Анатолий +, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,138
    Вес репутации
    847
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    26.12.2014
    Сообщений
    4
    Вес репутации
    12
    Сделал полный образ автозапуска с помощью приложения uVS.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,138
    Вес репутации
    847
    Деинсталлируйте программы Html5 geolocation provider, Update for Html5 geolocation provider.

    Завершите все терминальные сеансы на сервере, закройте все открытые пользователями файлы на шарах и выполните скрипт в uVS:
    Код:
    ;uVS v3.85.3 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.0
    v385c
    delall %SystemDrive%\USERS\BUH1\APPDATA\LOCAL\PRICEFOUNTAIN\PRICEFOUNTAINW.EXE
    delref %SystemDrive%\USERS\BUH1\APPDATA\LOCAL\PRICEFOUNTAIN\UNINST.EXE
    deldir %SystemDrive%\USERS\BUH1\APPDATA\LOCAL\PRICEFOUNTAIN
    delref %SystemDrive%\USERS\BUH1\APPDATA\ROAMING\PRICEF~1\UPDATE~1\UPDATE~1.EXE
    deldir %SystemDrive%\USERS\BUH1\APPDATA\ROAMING\PRICEF~1
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\WEBSURF.RU\WEBSURF.EXE
    deldir %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\WEBSURF.RU
    delall %SystemDrive%\USERS\BUH2\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW TO DECRYPT FILES.TXT
    zoo %SystemDrive%\USERS\BUH1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
    delall %SystemDrive%\USERS\BUH1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
    zoo %SystemDrive%\USERS\BUH1\DESKTOP\VK_BRUTE-CHECKER.EXE
    delall %SystemDrive%\USERS\BUH1\DESKTOP\VK_BRUTE-CHECKER.EXE
    del %SystemDrive%\USERS\BUH1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\PRICEFOUNTAIN\UNINSTALL PRICEFOUNTAIN.LNK
    zoo %SystemDrive%\USERS\BUH1\DESKTOP\DEDCHECK.EXE
    delall %SystemDrive%\USERS\BUH1\DESKTOP\DEDCHECK.EXE
    del %SystemDrive%\USERS\BUH1\DESKTOP\WEBSURF.LNK
    zoo %SystemDrive%\USERS\BUHGALTER\DESKTOP\AMS.EXE
    delall %SystemDrive%\USERS\BUHGALTER\DESKTOP\AMS.EXE
    zoo %SystemDrive%\POKER\WILLIAM HILL POKER\CASINO.EXE
    deldir %SystemDrive%\POKER\WILLIAM HILL POKER
    zoo %SystemDrive%\POKER\LEONPOKER\CASINO.EXE
    deldir %SystemDrive%\POKER\LEONPOKER
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MAIL.RU\AGENT\MRA\DLL\MRAMENU.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE
    delref %SystemDrive%\USERS\BUH1\APPDATA\LOCAL\TEMP\8\RAR$EX00.464\DTLEP.EXE
    czoo
    Перезагрузите сервер.

    information

    Уведомление

    В скрипте есть строки для удаления покерных клиентов, их, на мой взгляд, на сервере быть не должно. Если у Вас другое мнение - закомментируйте символом ; соответствующие строки, или удалите их.



    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    26.12.2014
    Сообщений
    4
    Вес репутации
    12
    Все сделал, как и говорили.

    - - - - -Добавлено - - - - -

    Забыл упомянуть: Недели 4 назад была следующая картина, при смене ip адреса на машине трафик исходящий прекращается, а объем входящего заметно выше исходящего, в этом случае интернет работает. Примерно через 3-4 дня интернет начал снова забивается трафиком на полную (входящим и исходящим) и приходилось вновь менять ip адрес. Примерно дней 5 назад смена ip перестала давать результаты, интернет напрямую перестал работать.
    Выполнил проверку утилитой Dr.Web CureIt! и нашлась угроза: svchost.exe в директории: "C:\Users\Buh1\WINDOWS\system svchost.exe", данную угрозу нейтрализовал этой же утилитой. Машину я не перезагружал, пробовал включать инет напрямую, менял ip адрес, но интернет канал был забит входящим и исходящим трафиком.
    В списке программ я увидел приложение Radmin Server, которое скорее всего было установлено ранее, но при этом в области уведомлений (трее) значков не висит, попытался удалить, мне выдало примерно следующее сообщение, программа будет полностью удалена после завершения сеансов соединения, но никаких пользователи не должны были подключены через рэдмин, только через удаленный рабочий стол в терминальном режиме.
    Далее я уже начал делать первые логи.
    После удаления приложений Html5 geolocation provider, Update for Html5 geolocation provider, выполнения скрипта вuVS: и перезагрузки системы подключил нет напрямую и пакеты прям "полетели", затем сменил ip и стало как ранее, исходящие пакеты в пределах нормы а вот входящих заметно больше.
    После этого я снова попытался удалить Radmin Server стандартным способом в результате выдал ошибку что типо "требуется файл который находится в сетевом доступе".
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,138
    Вес репутации
    847
    Промежуточные итоги.

    Удалено:

    1. C:\USERS\BUH1\APPDATA\LOCAL\PRICEFOUNTAIN -adware, может генерировать трафик.

    2. C:\USERS\BUH1\DESKTOP\VK_BRUTE-CHECKER.EXE - Win32/HackTool.BruteForce.SG (ESET-NOD32), видимо, для взлома вконтакте.
    Создан 26.01.2015 в 10:01:42
    Изменен 22.01.2015 в 09:48:26

    3. C:\USERS\BUHGALTER\DESKTOP\AMS.EXE - Win32/AdvancedMassSender.A (ESET-NOD32). Утилита для массовой рассылки спама, трафик, наверняка, создаёт немалый.
    Создан 10.06.2012 в 04:55:57
    Изменен 10.06.2012 в 04:56:50

    4. C:\USERS\BUH1\DESKTOP\DEDCHECK.EXE MSIL/HackTool.BruteForce.Z (ESET-NOD32) - утилита для поиска и взлома "дедиков" - от Dedicated Server - выделенный сервер.
    Создан 26.01.2015 в 00:33:08
    Изменен 07.10.2013 в 19:56:25

    Если, конечно, это не пользователь BUH1 шалит, в т. ч. и по ночам - поздравляю, сервер взломан, на нём хозяйничают хакеры.

    Срочно делайте следующее.

    Смените пароли на учётки с администраторскими правами и у пользователей, имеющих доступ по RDP, у кого админские права были не по делу - отобрать не обращая внимания на вопли. Для 99% программ проблемы с работой под пользователем без прав администратора решаются изменением прав безопасности на соответствующие папки и ветки реестра.

    MS SQL сервер - также менять пароли, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.

    Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.

    Включить в антивирусе противодействие потенциально нежелательным программам (ПНП/PUP). В корпоративной версии Касперского это точно должно быть.

    Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.

    Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    Ну и вообще, позволять пользователям выходить в интернет с сервера, скачивать, устанавливать и запускать программы, браузеры, на мой взгляд, просто преступная халатность и повышение вероятности взлома на порядок. Пользователь должен выходить в интернет со своего компьютера. Программы, требующие выхода в интернет, также должны работать на пользовательском рабочем месте. Исключение - какие-либо многопользвательские, сетевые пакеты, но тогда брандмауэром на сервере должен быть запрещено работать с интернетом всем программам, исключая те, которым это необходимо.
    Судя по следам шифровальщика, ломают сервер не первый раз, так что вперёд, затыкать дыры, расчищать авгиевы конюшни.

    В личку напишите ваш внешний ip адрес, проверю на уязвимость.

    Сделайте новый полный образ автозапуска UVS.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    26.12.2014
    Сообщений
    4
    Вес репутации
    12
    Прошу простить что "пропал". Сегодня обнаружил на машине к корне системного диска папку, содержащую следующее: ZDoser [1.1].exe; proxy.txt; data.ini. (в интернете нашел по экзешнику что это приложение для дидос атак).
    А так же папку с программой WinHide.SB - Программа для управления видимостью окон. Вряд ли бухгалтер будет пользоваться таким софтом.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,138
    Вес репутации
    847
    То, что я писал, выполнили?
    Обновите по ссылке UVS и сделайте новый полный образ автозапуска.
    WBR,
    Vadim

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 12
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Анатолий +, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 30.09.2013, 20:14
    2. Весь канал забит трафиком на один IP
      От HongKilDong в разделе Общая сетевая безопасность
      Ответов: 3
      Последнее сообщение: 17.10.2011, 13:53
    3. Забит канал инета, траффик улетает...
      От Sender в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 21.10.2009, 16:19
    4. помогите. забит канал интернета.
      От stas1405 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 11.02.2009, 23:02
    5. Интернет канал забит трафиком
      От tarnoga в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 13.11.2008, 22:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00370 seconds with 17 queries