Не понятные атаки

[[HaZZarD]]

Как-то на днях интернет тупо перестал функционировать, просто не куда не конектит, в браузере идет загрузка и белая страница пустая (во всех браузерах). Или очень медленно работает. Но после перезагрузки компа, минут 20-30, а то и пол дня, все может работать ок, но потом опять тоже самое.

По началу грешил на провайдера, но потом после пинга на днс'ы прова и внешнюю сеть, понял что дела не в нем. Заглянул я в Outpost FW в Журнал событий -> Журнал пакетов и атак, и там я увидел что то похожее на ддос атаку (снизу скрин) каждую секунду по закрытым портам бьются с разных IP и ещё всякий netbios трафик. Интернет естественно по старту системы ещё как-то работает с очень медленной скоростью, но потом или пров отрубает или фаервол уже все подряд мочит без разбора. В системе стоит Outpost FireWall, NOD32 v.4 т.к. нод32 пропустил его решил снести его и поставить Dr.Web триальный, прошелся по системе нашел один вир, а остальное так по мелочи: кряки, трейнеры, кигены, ну я их естественно тоже почистил.
Потом пошел в безопасный режим, там я прошелся AVZ он нашел пару подозрительных файла

C:\Program Files\Adobe\Adobe After Effects CS3\Support Files\AELinkServer2.exe >>> подозрение на P2P-Worm.Win32.Nugg.an ( 0061CFC9 08CD5FC5 001D299B 001FCE35 188416)

C:\WINDOWS\system32\cncs32.dll >>> подозрение на Trojan-Banker.Win32.Banker.afwk ( 07CEC754 02848D70 00191BC5 00178ABD 172032)

Все подтер.

Торможения самой системы не замечаю. Но виновника атак до сих пор не могу выявить. Хотелось бы обойтись без переустановки системы.

В общем вот все 3 лога (делал в безопасном режиме).

[Wild Spirit]

Код:

Восстановление системы: включено

Должно быть выключено

Код:

Система загружена в режиме защиты от сбоев с поддержкой сети (SafeMode)

Переделайте логи в нормальном режиме.

[[HaZZarD]]

Вот сделал новые логи.

[Wild Spirit]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\xampp\service.exe','');
 QuarantineFile('C:\Temp\lac97inf.sys','');
 QuarantineFile('C:\Temp\catchme.sys','');
 StopService('XAMPP');
 StopService('lac97inf');
 StopService('catchme');
 DeleteService('XAMPP');
 DeleteService('lac97inf');
 DeleteService('catchme');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('XAMPP');
BC_DeleteSvc('lac97inf');
BC_DeleteSvc('catchme');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи в нормальном режиме.
virusinfo_syscure.zip
virusinfo_syscheck.zip
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин (http://virusinfo.info/upload_virus.php?tid=48485) вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[[HaZZarD]]

Я залил 2 архива карантина т.к. по разным датам были, я не стал уже соеденять.

[Wild Spirit]

Остались какие-то проблемы?

[[HaZZarD]]

Остались какие-то проблемы?

Да, все те же.

[Rene-gad]

- Выполните скрипт

Код:

begin
SetAVZGuardStatus(True);
 DeleteService('Bonjour Service');
 DeleteFile('%programfiles%\bonjour\mdnsresponder.exe');
 DeleteFile('%programfiles%\bonjour\mdnsNSP.dll');
 DeleteFile('%programfiles%\Bonjour\ExplorerPlugin.dll');
 DelCLSID('{9999A076-A9E2-4C99-8A2B-632FC9429223}');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
ExecuteRepair(14);
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

[[HaZZarD]]

Все то же

Какие ещё предложения? Атаки участились теперь сканят порты и атакуют с сотен разных IP.

[Rene-gad]

Атаки участились теперь сканят порты и атакуют с сотен разных IP.

Проверьте IP по http://ws.arin.net/whois/

[[HaZZarD]]

Ethernet 00-1a-4d-9a-ba-46 ff-ff-ff-ff-ff-ff Заблокировано Детектором атак

Сейчас вообще с не понятных атакует, а толку то проверять IP?

Вот основной атакующий.

[Rene-gad]

Malwarebytes Antimalware (google в руки) скачать, сделать полную проверку, лог - в студию.
И лог gmer сделайте (см. в разделе Чаво).

[[HaZZarD]]

Вот логи Anti-Malware. Скоро GMER сделаю, сколько будет ~200 Гб сканироваться?

Омг, при скане этой прогой половину драйверов послетало, накрыло браузер и вообще все. Но после перезагрузки все норм, только у браузера настрйоки слетели.

Вот логи GMER

сори за даблпостинг

[Rene-gad]

Значит так:
- ничего плохого в логах не видно;
- Малваребайтс Вам какую-то прогу вчистую снес, надеюсь что она Вам не здорово нужна;
- атаки если и идут, то Вы тут ничего сделать не можете, т.к. они идут снаружи.

Если у Вас остались сомнения - переустановите Винду.

[[HaZZarD]]

Да я логи сам все просматриваю, та прога не нужна была.
Дак как такое может быть, если у меня IP динамичный, а атаки все с тех же IP.
И ещё почему-то перестали обновления скачиваться через командную строку wuauclt.exe /detectnow не какой реакции и просто wuauclt.exe. А через панель управления все ок, может сможете подсказать зеркала обновления или где можно безопасно посвежее скачать.

[Rene-gad]

сможете подсказать зеркала обновления или где можно безопасно посвежее скачать.

www.windowsupdate.com - другого нет и не будет.
На другие Ваши почему у меня к сожалению нет вразумительных ответов.

[pig]

как такое может быть, если у меня IP динамичный, а атаки все с тех же IP.

А кто сказал, что атакуют лично вас? Червяки бьют по площадям.

[[HaZZarD]]

Ладно, спасибо все равно. Если что ещё накопаю, напишу.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 11
• В ходе лечения вредоносные программы в карантинах не обнаружены