Показано с 1 по 6 из 6.

Непонятный трафик на внешние IP (заявка № 41870)

  1. #1
    Junior Member Репутация
    Регистрация
    02.06.2008
    Сообщений
    10
    Вес репутации
    58

    Thumbs up Непонятный трафик на внешние IP

    Здравствуйте! Уже второй день бьемся со следующей ситуацией: Вчера после посещения какого-та сайта Касперский просигналил о том, что
    обнаружено: троянская программа Trojan.HTML.Agent.ap
    URL: disinfected
    Сразу запустили утилиту CURIT.Результаты прверки вирусов не показали.
    После этого я запустила tcpdump на внешнем маршрутизаторе и увидела, что с этого компьютера постоянно идут пакеты на 80 порт следующих IP: 75.102.24.15, 195.161.112.6, 76.162.0.16. Я заблокировала выход и вход с этих адресов. Трафик начинается сразу после загрузки компьютера.
    Ночью проверили компьютер Касперским 6.0 для рабочих станций.
    Результат проверки
    удалено: программа-реклама not-a-virus:AdWare.Win32.Dm.vq
    Файл: C:\Program Files\Common Files\Adobe\Updater\AdobeUpdater.exe
    удалено: троянская программа Trojan.Win32.Genome.jkh
    Файл: D:\distr\TMPROM\Flash Player Pro 3.1\Flash.Player.Pro.v3.1.WinALL.Cracked-CzW.zip/Crack/Flash Player Pro.exe
    удалено: троянская программа Trojan.Win32.Genome.jkh
    Файл: D:\distr\TMPROM\Flash Player Pro 3.1\Crack\Flash Player Pro.exe
    Попытка передать пакеты на эти IP продолжается.

    Спасибо за будущую помощь, требуемые файлы прилагаются.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 17.03.2009 в 10:12.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('FILEMON');
     QuarantineFile('C:\WINDOWS\system32\drivers\FILEM.SYS','');
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\FILEM.SYS');
     DeleteService('FILEMON');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('FILEMON');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    Код:
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    02.06.2008
    Сообщений
    10
    Вес репутации
    58
    Высылаем запрошенную информацию.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    В логах ничего подозрительного.
    JAVA RE обновите, поставьте IE7 - даже если Вы им не пользуетесь.

  6. #5
    Junior Member Репутация
    Регистрация
    02.06.2008
    Сообщений
    10
    Вес репутации
    58
    Пакеты на упомянутые IP больше не идут.
    Спасибо Вам большое.

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\twex.exe - Trojan-Spy.Win32.Zbot.pvm( DrWEB: Trojan.PWS.Panda.5 )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) strogv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Трафик непонятный
      От Trigg в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 27.07.2010, 09:46
    2. Непонятный исходящий трафик
      От Dr. в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.10.2008, 11:58
    3. Непонятный трафик
      От snoop в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.09.2008, 12:19
    4. Непонятный трафик
      От JaneYa в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.10.2007, 16:56
    5. Непонятный трафик
      От МельниковМихаил в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 19.07.2006, 01:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00439 seconds with 18 queries