-
Junior Member
- Вес репутации
- 51
Блокированный трафик ipnat.sys/ntoskrnl.exe, блокировка сайтов.
Привет.
Суть проблемы такова - какое-то время назад появился порнобаннер с смс-кодом, был успешно убит через taskkill и последующее удаление файлов, через некоторое время после этого отметил, что браузер не может достучаться до kp.ru и diary.ru - но они в общем-то никакой ценности и не представляли, вместе с ними стал недоступен сервер гугл с предпросмотром найденных картинок. Где-то неделю назад отключал зачем-то на пару минут симантек (тогда стоял только он), после его включения он регулярно начал оповещать о блокированном входящем (incoming в логах) трафике к ntoskrnl.exe. Я пошел на этот сайт и аналогичные - оказалось, что не достучаться еще и к drweb.com, kaspersky.ru, virusinfo.info, superantispyware.com.
После перезагрузки во время проверки по правилам появилось одно сообщение от симантека о блокированном трафике от ipnat.sys. Касперский поймал кучу файлов, CureIt нашел после этого еще пару, но проблема не исчезла.
p.s. Сижу, как видите, через anonymouse - окна заливки файлов в упор не вижу, только
Вложить файлы
Разрешённые типы файлов: 7z bz2 gif jpe jpeg jpg log pdf png rar tgz txt zip
bbcode тоже не работает, предполагаю что это анонимаус блокирует. Сейчас попробую найти другую прокси, если не сработает - куда и как заливать логи?
p.p.s. Файл hosts пуст, указанные сайты недоступны через ФФ, Хром, ИЕ.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В AVZ меню - Файл - Восстановление системы - в строчке
20. Настройки TCP/IP. Удалить статические маршруты.
поставьте галочку. Нажмите кнопку Выполнить ...
Попробуйте зайти на http://virusinfo.info/
-
-
Junior Member
- Вес репутации
- 51
Не сработало. Я могу залить логи на свой сайт, если можно только через форум передавать - перекину кому-нибудь по асе и дам данные от учетки. Скажите только что это безопасно для передающего :D
Забыл дописать в основном сообщении - через cmd и netstat нашел соединения с integraclick.com и akamaitechnologies.com. Если нужна более точная информация по адресам - я сохранил пару скринов.
-
логи можно выложить на любой файлообменник
-
-
Junior Member
- Вес репутации
- 51
Последний раз редактировалось AndreyKa; 12.06.2010 в 15:45.
Причина: загрузил логи как положенно
-
Пофиксте в HijackThis строку:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Кнопка Пуск - Выполнить:
route -f
Обновите базы AVZ.
Сделайте новые логи AVZ и приложите их к этой теме.
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
AndreyKa
Пофиксте в HijackThis строку:
Кнопка Пуск - Выполнить:
route -f
выполнил - адреса больше не блокируются, сижу нормально :)
Сообщение от
AndreyKa
Обновите базы AVZ.
Сделайте новые логи AVZ и приложите их к этой теме.
залил.
-
Не видно ничего подозрительного.
Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 51
Залил и отметился в теме. У меня есть два вопроса, может покажутся дилетантскими:
1) Может ли это кто-то из сетки пытаться достучаться до моего ntoskrnl.exe?
2) Могли ли несколько антивирей в системе сделать ситуацию, когда открытие нового окна/доставание какой-либо программы из трея приводит к зависанию этой программы/окна? Пару раз пришлось ресетнуться (ctrl+alt+del тоже перестает работать) за последние дня три.
-
1) может. ipnat.sys, например, обеспечивает преобразование IP-адресов NAT что позволяет полключить к Интернету локальную сеть, имея только один IP адрес. А ntoskrnl.exe это ядро Windows, обеспечивающее работу таких драйверов как ipnat.sys.
2) Могли.
-
-
Junior Member
- Вес репутации
- 51
Спасибо. Одну из двух проблем вы решили, вторая, судя по отчету с вирусами не связана никак )