-
Junior Member
- Вес репутации
- 52
компьютер создает посторонние сетевые подключения
Ситуация: стал подвисать комп, после сканирования DrWEBLiveCD удалил три вируса trojan.paked после чего без сетевого кабеля комп загружался нормально, но при подключении к сети создавал новые подключения к разным машинам в том числе и на интернет адреса. При загрузке с сетью висел по несколько минут на этапе загрузки рабочего стола.
куда копать не пойму
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите:
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=Explorer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\340a00f8.exe,\\?\globalroot\systemroot\system32\vnqB6tU.exe,
O21 - SSODL: UpdateCheck - {913B01A0-7150-4FAA-AD73-7FB934E326FE} - (no file)
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\340a00f8.exe','');
StopService('Seekeen Service');
DeleteService('Seekeen Service');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Seekeen\seekeen140.exe','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Seekeen\seekeen140.exe');
DeleteFile('C:\WINDOWS\system32\340a00f8.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('Seekeen Service');
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Очистите файл hosts.
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 52
Спасибо за быстрый ответ! Все выполнил карантин отправлен, логи прикрепил. При сканировании AVZ было сообщение и появляется каждый раз о 11 перехватчиках функций KisTS. загружается быстро, но остается подключение на другой комп по порту 49155 (удаленный порт), и на IP 60.12.117.145 по 443 порту.
Похоже зараза осталась
-
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Все сделал - нашел руткит, логи прилагаю.
-
После работы ComboFix что-либо изменилось?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
нет все по прежнему, создает кучу подключений на любые компы. но уже не подвисает при загрузке рабочего стола
-
Junior Member
- Вес репутации
- 52
в приложении скрин создаваемых подключений, почти все убираются через пару минут
а также прикладываю скрин AVZ о перехвате функций
Последний раз редактировалось OTK; 01.03.2010 в 09:54.
-
Настройки IE сами меняли?
Код:
AutoConfigURL = http://Srvtwo:8080/config.script
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
настройки берутся из Трафик инспектора
-
В перехватах ничего необычного. С подключениями по картинке ничего не понял
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
В перехватах ничего необычного.
а разве это не руткит??
С подключениями по картинке ничего не понял
При загрузке пользователя комп начинает стучаться на разные компы в сети и даже в интернет. В автозагрузке нет таких программ и порты динамические 49155 и т.д. и в нет лезет по 80 порту. Все эти соединения пропадают минут через 5.
-
cds107.lon9.msecn.net -- Майкрософтовский сервер
65.55.185.26 -- Майкрософтовский сервер
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Уважаемые господа эксперты посмотрите еще пожалуйста логи.
утром Авира отловила пару файлов c:\temp.exe и во временных файлах интернет и комп не смог запустить интернет эксплорер (хотя вчера весь день работал нормально) критическая ошибка приложения и все. интернет эксплорер не удаляется (через удаление компонентов Виндовс не хватает файлов zClientm.exe) и не устанавливается (типа уже есть более высокой версии .
-
Поймали зверя.
Профиксить:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\c350cf00.exe,\\?\globalroot\systemroot\system32\jby3hZ4.exe,
Добавлено через 3 минуты
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\jby3hZ4.exe','');
QuarantineFile('C:\WINDOWS\system32\c350cf00.exe','');
DeleteFile('C:\WINDOWS\system32\c350cf00.exe');
DeleteFile('C:\WINDOWS\system32\jby3hZ4.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторить логи.
Последний раз редактировалось PavelA; 03.03.2010 в 13:35.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Это рецедив старого или все таки новый пролез??
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
тему можно закрывать. После всего не запустился ни один антивирусник - уходил в полный завис. вылечилось переустановкой системы
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-