Показано с 1 по 8 из 8.

Кто-то шлёт пакеты в интернет (заявка № 30931)

  1. #1
    Junior Member Репутация
    Регистрация
    09.12.2007
    Сообщений
    20
    Вес репутации
    37

    Кто-то шлёт пакеты в интернет

    Добрый день!
    Файервол фиксирует регулярную (каждые 5 секунд) отправку в интернет пакетов на разные (но похожие) адреса, на 80-й порт. Отправка происходит от имени Winlogon.exe.
    Dr.Web, AdAware и AVZ ничего подозрительного не находят.
    ОС - WindowsXP SP2.
    Логи прилагаю.
    Спасибо
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O4 - HKLM\..\Run: [fxfmfd] C:\WINDOWS\system32\fxfmfd.exe \u
    O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\SYSTEM32\WinNt64.dll
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\fxfmfd.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Nac53.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Lbo47.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinNt64.dll','');
     DeleteFile('C:\WINDOWS\system32\WinNt64.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Lbo47.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Nac53.sys');
     DeleteFile('C:\WINDOWS\system32\fxfmfd.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 2 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=30931).
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    09.12.2007
    Сообщений
    20
    Вес репутации
    37
    Всё выполнено, как написали.
    Пакеты в интернет посылаться перестали.
    Остальное - не очень хорошо:

    1. Вход в систему - с большой задержкой (порядка 10 секунд тормозов после ввода пароля).
    2. Сразу после входа Dr.Web сообщил о зараженном файле /system32/winnt64.dll и по моей команде его исцелил.
    3. Браузер (IE и Maxthon) не реагирует на ввод адреса. Просто ничего не делает и ничего не сообщает.
    4. В системном журнале - множество ошибок:
    а) таймаут ожидания ответа при транзакции от службы TapiSrv
    б) служба "Диспетчер подключений одаленного доступа" зависит от службы "Телефония", которую не удалось запустить.
    в) сбой при запуске службы "Телефония"
    г) не удалось запустить службу "обозреватель компьютеров"
    д) не удалось запустить службу "маршрутизация и удаленный доступ"
    --------
    Поправка: браузер всё-таки открыл страничку в интернете, но делал это минут 15. При обращении к свойствам IE он зависает.
    -------------
    Прикрепляю новые логи и уповаю на помощь, ибо очень не хотелось бы остаться на выходные без компьютера.
    Карантин тоже был выслан как велено.
    Вложения Вложения
    Последний раз редактировалось Urmila; 26.09.2008 в 11:04.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1362
    1. Пофиксить:
    Код:
    O4 - HKLM\..\Run: [prkiller] C:\Program Files\misc\prkiller.exe
    2. выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\misc\prkiller.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    3. Карантин по правилам.

  6. #5
    Junior Member Репутация
    Регистрация
    09.12.2007
    Сообщений
    20
    Вес репутации
    37
    Как-то полегчало
    При входе в систему не тупит.
    Браузер заработал.
    Ошибки из системного лога исчезли.
    Карантин выслан...
    А что стало с моим процесс_киллером? Неужели это он был виноват?? Он мне так давно служил верой и правдой...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1362
    Многие малвары используют процескиллер. У вас видимо конфликт его с аутпостом.

  8. #7
    Junior Member Репутация
    Регистрация
    09.12.2007
    Сообщений
    20
    Вес репутации
    37
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Многие малвары используют процескиллер. У вас видимо конфликт его с аутпостом.
    Аутпост на той машине не нужен, он был поставлен только для того, чтобы вычислить - кто шлёт пакеты.
    Значит если аутпост снести, то можно процесскиллер вернуть на место?

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 12
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Urmila, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Странные пакеты
      От namonik в разделе Сетевые атаки
      Ответов: 1
      Последнее сообщение: 16.10.2010, 22:06
    2. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:24
    3. по 123 порту гонит пакеты utp
      От Sigurg в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 31.10.2007, 15:33
    4. Пакеты на закрытый порт
      От cheetah в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.06.2007, 12:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00685 seconds with 17 queries