Показано с 1 по 7 из 7.

Лезет на 80.240.*.* и не только (заявка № 42423)

  1. #1
    Junior Member Репутация
    Регистрация
    25.09.2006
    Адрес
    Pristen - Kursk region
    Сообщений
    33
    Вес репутации
    42

    Thumbs up Лезет на 80.240.*.* и не только

    Здравствуйте!
    Заметил постоянно мигающие или даже горящие мониторчики в трее и торможение "официального" трафика, хотя стараюсь отключать любые автозагрузки (ненужные) и активность сети (типа отчетов и т.п.).
    В AGAVA Firewall обнаружил, что система по протоколу ICMP с частотой примерно одна попытка в секунду пытается подключиться к адресу 80.240.0.0 и тд до 80.240.255.255 и затем опять с нуля (друг пробил адрес - сказал что это айпишники моб. оператора теле2, хотя интернет по мобильным каналам никогда не шел на этом компе). Кроме того непонятные адреса 192.168.1.255 по протоколу UDP тоже иногда начинают настырно подключаться (локальный порт у них netbios-dgm и netbios-ns - не знаю что это и полезна ли эта информация, но пишу, что наю).
    С помощью AGAVы заблокировал им доступ, но хотя трафик не кушает теперь, но эта постоянная активность очень раздражает.
    В качестве антивируса Доктор Веб (все обновлено), работает резидентно; также установил Spyware Terminator (перекрестился после того как гром грянул).
    Может быть полезно: Crypto Pro, которую заподозрила AVZ - это программа для цифровых подписей.

    А еще создается нулевой файл kht, наверное известный Вам вирус.

    Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe csrcs.exe"
    >>> C:\WINDOWS\system32\csrcs.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
    Файл успешно помещен в карантин (C:\WINDOWS\system32\csrcs.exe)

    - это наверное про него? То что он поместился в карантин, значит он уже безопасен или его надо добить? Ну и я так понимаю он никак не связан с вышеизложенной проблемой


    Большое спасибо. Извините за долгий рассказ.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\csrcs.exe');
     QuarantineFile('c:\windows\system32\csrcs.exe','');
     DeleteFile('c:\windows\system32\csrcs.exe');
     ExecuteRepair(8);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=42423

    Мой рассказ получился коротким
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    25.09.2006
    Адрес
    Pristen - Kursk region
    Сообщений
    33
    Вес репутации
    42

    80.240. убит, но...

    Но что же все-таки за netbios-dgm и netbios-ns с адресами 192.168.1.255 - они блокируются фаерволом, но я вроде их не блокировал, а кто их блокировал и что они делают, а главное кто они? (хотя их деятельность можно только в статистике фаервола можно заметить, а в сети теперь полный штиль)
    Если можно, прояснить: так это значит одна и та же дрянь (csrcs) и создает KHT и лазиит по айпишникам?
    Ещё одно: после ребута система сообщила, что ей очень нехватает csrcs. В автозагрузках и службах не нашел ее. Как добить клопа?

    П.С.: Длинна рассказа в прежнем стиле

    Спасибо
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    профиксить:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
    Сделать лог Хиджака.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    25.09.2006
    Адрес
    Pristen - Kursk region
    Сообщений
    33
    Вес репутации
    42

    Danke sehr

    Нетбиосы c адресами 192.168.1.255, а также по протоколу IGMP на адрес 192.168.1.1 все-таки изредка лезут и блокируется, я догадываюсь что это за адреса и что это наверное стандартные службы, но слегка напрягает.
    ну и шут с ними, главное csrcs убит.

    Большое спасибо

    P/S: Наверху темы красное сообщение "Прислать запрошенный карантин", но я его сразу после запроса выслал. Что-то не так?
    Последний раз редактировалось LAM; 25.03.2009 в 12:27. Причина: P/S:

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Был убит:csrcs.exe - Packed.Win32.Klone.bj
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\csrcs.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Autohit.3438, BitDefender: Trojan.Heur.AutoIT.1 )


  • Уважаемый(ая) LAM, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 12.07.2012, 05:22
    2. Что-то лезет в инет, но только после 15-00
      От Grey-ua в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 25.10.2010, 20:33
    3. Что-то лезет в интернет!
      От igor2999 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 21.07.2009, 21:43
    4. лезет в инернет
      От vit496 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 26.09.2007, 18:41
    5. Кто-то лезет в инет
      От anton_dr в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 10.06.2006, 11:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00128 seconds with 17 queries