Показано с 1 по 19 из 19.

Не понятные атаки (заявка № 48485)

  1. #1
    Junior Member Репутация
    Регистрация
    22.06.2009
    Сообщений
    9
    Вес репутации
    31

    Thumbs up Не понятные атаки

    Как-то на днях интернет тупо перестал функционировать, просто не куда не конектит, в браузере идет загрузка и белая страница пустая (во всех браузерах). Или очень медленно работает. Но после перезагрузки компа, минут 20-30, а то и пол дня, все может работать ок, но потом опять тоже самое.

    По началу грешил на провайдера, но потом после пинга на днс'ы прова и внешнюю сеть, понял что дела не в нем. Заглянул я в Outpost FW в Журнал событий -> Журнал пакетов и атак, и там я увидел что то похожее на ддос атаку (снизу скрин) каждую секунду по закрытым портам бьются с разных IP и ещё всякий netbios трафик. Интернет естественно по старту системы ещё как-то работает с очень медленной скоростью, но потом или пров отрубает или фаервол уже все подряд мочит без разбора. В системе стоит Outpost FireWall, NOD32 v.4 т.к. нод32 пропустил его решил снести его и поставить Dr.Web триальный, прошелся по системе нашел один вир, а остальное так по мелочи: кряки, трейнеры, кигены, ну я их естественно тоже почистил.
    Потом пошел в безопасный режим, там я прошелся AVZ он нашел пару подозрительных файла

    C:\Program Files\Adobe\Adobe After Effects CS3\Support Files\AELinkServer2.exe >>> подозрение на P2P-Worm.Win32.Nugg.an ( 0061CFC9 08CD5FC5 001D299B 001FCE35 188416)

    C:\WINDOWS\system32\cncs32.dll >>> подозрение на Trojan-Banker.Win32.Banker.afwk ( 07CEC754 02848D70 00191BC5 00178ABD 172032)
    Все подтер.

    Торможения самой системы не замечаю. Но виновника атак до сих пор не могу выявить. Хотелось бы обойтись без переустановки системы.

    В общем вот все 3 лога (делал в безопасном режиме).
    Изображения Изображения
    • Тип файла: jpg ataki.jpg (312.1 Кб, 14 просмотров)
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2009
    Адрес
    Киев
    Сообщений
    241
    Вес репутации
    51
    Код:
    Восстановление системы: включено
    Должно быть выключено
    Код:
    Система загружена в режиме защиты от сбоев с поддержкой сети (SafeMode)
    Переделайте логи в нормальном режиме.
    Последний раз редактировалось Rene-gad; 22.06.2009 в 15:33. Причина: добавлена информация к размышлению

  4. #3
    Junior Member Репутация
    Регистрация
    22.06.2009
    Сообщений
    9
    Вес репутации
    31

    Новые логи

    Вот сделал новые логи.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2009
    Адрес
    Киев
    Сообщений
    241
    Вес репутации
    51
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\xampp\service.exe','');
     QuarantineFile('C:\Temp\lac97inf.sys','');
     QuarantineFile('C:\Temp\catchme.sys','');
     StopService('XAMPP');
     StopService('lac97inf');
     StopService('catchme');
     DeleteService('XAMPP');
     DeleteService('lac97inf');
     DeleteService('catchme');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('XAMPP');
    BC_DeleteSvc('lac97inf');
    BC_DeleteSvc('catchme');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи в нормальном режиме.
    virusinfo_syscure.zip
    virusinfo_syscheck.zip

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин (http://virusinfo.info/upload_virus.php?tid=48485) вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    22.06.2009
    Сообщений
    9
    Вес репутации
    31

    Новые логи

    Я залил 2 архива карантина т.к. по разным датам были, я не стал уже соеденять.
    Вложения Вложения

  7. #6

  8. #7
    Junior Member Репутация
    Регистрация
    22.06.2009
    Сообщений
    9
    Вес репутации
    31
    Цитата Сообщение от Wild Spirit Посмотреть сообщение
    Остались какие-то проблемы?
    Да, все те же.
    Последний раз редактировалось Rene-gad; 23.06.2009 в 18:54. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    - Выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteService('Bonjour Service');
     DeleteFile('%programfiles%\bonjour\mdnsresponder.exe');
     DeleteFile('%programfiles%\bonjour\mdnsNSP.dll');
     DeleteFile('%programfiles%\Bonjour\ExplorerPlugin.dll');
     DelCLSID('{9999A076-A9E2-4C99-8A2B-632FC9429223}');
     RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(13);
    ExecuteRepair(14);
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

  10. #9
    Junior Member Репутация
    Регистрация
    22.06.2009
    Сообщений
    9
    Вес репутации
    31
    Все то же

    Какие ещё предложения? Атаки участились теперь сканят порты и атакуют с сотен разных IP.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 24.06.2009 в 11:56.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от [HaZZarD] Посмотреть сообщение
    Атаки участились теперь сканят порты и атакуют с сотен разных IP.
    Проверьте IP по http://ws.arin.net/whois/

  12. #11
    Junior Member Репутация
    Регистрация
    22.06.2009
    Сообщений
    9
    Вес репутации
    31
    Ethernet 00-1a-4d-9a-ba-46 ff-ff-ff-ff-ff-ff Заблокировано Детектором атак

    Сейчас вообще с не понятных атакует, а толку то проверять IP?

    Вот основной атакующий.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Malwarebytes Antimalware (google в руки) скачать, сделать полную проверку, лог - в студию.
    И лог gmer сделайте (см. в разделе Чаво).

  14. #13
    Junior Member Репутация
    Регистрация
    22.06.2009
    Сообщений
    9
    Вес репутации
    31
    Вот логи Anti-Malware. Скоро GMER сделаю, сколько будет ~200 Гб сканироваться?

    Омг, при скане этой прогой половину драйверов послетало, накрыло браузер и вообще все. Но после перезагрузки все норм, только у браузера настрйоки слетели.

    Вот логи GMER

    сори за даблпостинг
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 24.06.2009 в 18:46.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Значит так:
    - ничего плохого в логах не видно;
    - Малваребайтс Вам какую-то прогу вчистую снес, надеюсь что она Вам не здорово нужна;
    - атаки если и идут, то Вы тут ничего сделать не можете, т.к. они идут снаружи.

    Если у Вас остались сомнения - переустановите Винду.

  16. #15
    Junior Member Репутация
    Регистрация
    22.06.2009
    Сообщений
    9
    Вес репутации
    31
    Да я логи сам все просматриваю, та прога не нужна была.
    Дак как такое может быть, если у меня IP динамичный, а атаки все с тех же IP.
    И ещё почему-то перестали обновления скачиваться через командную строку wuauclt.exe /detectnow не какой реакции и просто wuauclt.exe. А через панель управления все ок, может сможете подсказать зеркала обновления или где можно безопасно посвежее скачать.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от [HaZZarD] Посмотреть сообщение
    сможете подсказать зеркала обновления или где можно безопасно посвежее скачать.
    www.windowsupdate.com - другого нет и не будет.
    На другие Ваши почему у меня к сожалению нет вразумительных ответов.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от [HaZZarD] Посмотреть сообщение
    как такое может быть, если у меня IP динамичный, а атаки все с тех же IP.
    А кто сказал, что атакуют лично вас? Червяки бьют по площадям.

  19. #18
    Junior Member Репутация
    Регистрация
    22.06.2009
    Сообщений
    9
    Вес репутации
    31
    Ладно, спасибо все равно. Если что ещё накопаю, напишу.

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 11
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) [HaZZarD], наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не понятные драйверы
      От sumett в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 31.08.2011, 17:58
    2. Не понятные проблемы с IE
      От Евгений 111 в разделе Помогите!
      Ответов: 41
      Последнее сообщение: 05.04.2010, 10:56
    3. не понятные неполадки с ПК
      От Lobo в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 28.04.2009, 13:47
    4. Не понятные процессы
      От Boriss72 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 08:54
    5. Не понятные скрипты.
      От Сурёжа в разделе Вредоносные программы
      Ответов: 3
      Последнее сообщение: 16.05.2008, 07:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01407 seconds with 17 queries