Показано с 1 по 19 из 19.

Самопроизвольно создаются маршруты (заявка № 85725)

  1. #1
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    31
    Вес репутации
    35

    Question Самопроизвольно создаются маршруты

    В процессе работы в системе самопроизвольно создаются маршруты в таблице роутинга.

    До переустановки не запускался ie - вылетал с ошибкой.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('\\?\globalroot\systemroot\system32\E0zwEAM.exe','');
     QuarantineFile('C:\WINDOWS\system32\ovtbyt.exe','');
     QuarantineFile('C:\WINDOWS\system32\ff_acm.acm','');
     QuarantineFile('C:\WINDOWS\system32\febd07dd.exe','');
     DeleteFile('C:\WINDOWS\system32\a99c801c.exe');
     DeleteFile('C:\WINDOWS\system32\febd07dd.exe');
     DeleteFile('C:\WINDOWS\system32\ovtbyt.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\E0zwEAM.exe');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(20);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

  4. #3
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    31
    Вес репутации
    35
    Карантин отослал.

    Логи прилагаю.

    ЗЫ. Маршруты продолжают создаваться.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    1. Профиксите в HijackThis
    Код:
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    2. Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\Temp\jlig.tmp 2nEDFBNEED','');
     DeleteFile('C:\Temp\jlig.tmp 2nEDFBNEED');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
     DeleteFileMask('C:\Program Files\Common Files\wm', '*.*', true);
     DeleteDirectory('C:\Program Files\Common Files\wm');
     QuarantineFile('C:\WINDOWS\system32\drivers\.netsts5uwn.sys','');
     DeleteFile('C:\Program Files\Common Files\keylog.txt');
     QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
     QuarantineFile('%windir%\system32\sfcfiles.dll','');
     QuarantineFile('%windir%\system32\mssfc.dll','');
     DeleteFile('%windir%\system32\drivers\sfc.sys');
     DeleteFile('%windir%\system32\mssfc.dll');
     RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
     if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
       begin
        if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
          begin
           CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
           AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
           SaveLog('sfcfiles.log');
          end
         else
          begin
           AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
           SaveLog('sfcfiles.log');
           if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
             begin
              if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                begin
                 CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                 AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                 SaveLog('sfcfiles.log');
                end
               else 
                begin
                 AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                 SaveLog('sfcfiles.log');
                end;
             end
            else
             begin
              AddToLog('Файл sfcfiles.dll отсутствует в i386');
              SaveLog('sfcfiles.log');
             end;
          end;
       end
      else
       begin
        AddToLog('Файл sfcfiles.dll отсутствует в кеше');
        SaveLog('sfcfiles.log');
        if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
          begin
           if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
             begin
              CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
              AddToLog('Замена sfcfiles.dll успешно произведена из i386');
              SaveLog('sfcfiles.log');
             end
           else 
            begin
              AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
              SaveLog('sfcfiles.log');
            end;
          end
         else
          begin
           AddToLog('Файл sfcfiles.dll отсутствует в i386');
           SaveLog('sfcfiles.log');
          end;  
       end;
     DeleteFile('%windir%\system32\sfcfiles.bak');
     BC_ImportALL;
     ExecuteSysClean;
     BC_DeleteFile('%windir%\System32\sfcfiles.bak');
     BC_DeleteSvc('sfc');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторный лог RSIT
    - Сделайте повторный лог virusinfo_syscheck.zip;
    - файл sfcfiles.log прикрепите к сообщению

  6. #5
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    31
    Вес репутации
    35
    При перезагрузке подвис - сбросил reset'ом.
    Карантин отправил:
    Файл сохранён как 100818_212159_quarantine_4c6c16b74f38d.zip
    Размер файла 424342
    MD5 1d0b8d2b952c3881363728d17e7db9b4
    Файла приложил.
    Маршруты добавляются

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\WINDOWS\system32\drivers\.netsts5uwn.sys');
     BC_ImportAll;
     ExecuteSysClean;
     BC_DeleteSvc('.netsts5uwn');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог RSIT

  8. #7
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    31
    Вес репутации
    35
    При перезагрузке опять подвис - пришлось через reset.
    Log RSIT во вложении.
    Признаки проблемы остались.

  9. #8
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    31
    Вес репутации
    35
    Извините, но up

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,559
    Вес репутации
    3022
    Ничего необычного не видно. Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    31
    Вес репутации
    35
    Маршруты продолжают появляться самопроизвольно при запросах браузера или торрент-клиента или при прочих запросах к сети.

    D:\>route print
    ================================================== =========================
    Список интерфейсов
    0x1 ........................... MS TCP Loopback interface
    0x2 ...00 19 66 30 8a e5 ...... Realtek RTL8139 Family PCI Fast Ethernet NIC - ╠шэшяюЁЄ яы
    рэшЁют∙шър яръхЄют
    ================================================== =========================
    ================================================== =========================
    Активные маршруты:
    Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
    0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.20 20
    66.102.13.83 255.255.255.255 192.168.1.1 192.168.1.20 20
    78.25.161.203 255.255.255.255 192.168.1.1 192.168.1.20 20
    78.36.187.173 255.255.255.255 192.168.1.1 192.168.1.20 20
    78.62.35.42 255.255.255.255 192.168.1.1 192.168.1.20 20
    80.77.160.85 255.255.255.255 192.168.1.1 192.168.1.20 20
    85.30.249.44 255.255.255.255 192.168.1.1 192.168.1.20 20
    85.140.155.76 255.255.255.255 192.168.1.1 192.168.1.20 20
    87.119.243.219 255.255.255.255 192.168.1.1 192.168.1.20 20
    87.239.27.122 255.255.255.255 192.168.1.1 192.168.1.20 20
    91.195.91.216 255.255.255.255 192.168.1.1 192.168.1.20 20
    92.101.191.106 255.255.255.255 192.168.1.1 192.168.1.20 20
    92.112.10.65 255.255.255.255 192.168.1.1 192.168.1.20 20
    92.243.181.44 255.255.255.255 192.168.1.1 192.168.1.20 20
    95.79.22.177 255.255.255.255 192.168.1.1 192.168.1.20 20
    109.197.138.55 255.255.255.255 192.168.1.1 192.168.1.20 20
    127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
    192.168.1.0 255.255.255.0 192.168.1.20 192.168.1.20 20
    192.168.1.20 255.255.255.255 127.0.0.1 127.0.0.1 20
    192.168.1.255 255.255.255.255 192.168.1.20 192.168.1.20 20
    216.246.90.119 255.255.255.255 192.168.1.1 192.168.1.20 20
    224.0.0.0 240.0.0.0 192.168.1.20 192.168.1.20 20
    255.255.255.255 255.255.255.255 192.168.1.20 192.168.1.20 1
    Основной шлюз: 192.168.1.1
    ================================================== =========================
    Постоянные маршруты:
    Отсутствует

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Сделайте лог MBAM

  13. #12
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    31
    Вес репутации
    35
    лог
    Цитата Сообщение от polword Посмотреть сообщение
    - Сделайте лог MBAM
    Вложения Вложения

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,559
    Вес репутации
    3022
    Удалите в МВАМ
    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\bitaccelerator.bitaccelerator (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\bitaccelerator.bitaccelerator.1 (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\connectionservices.connectionservices (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\connectionservices.connectionservices.1 (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\Interface\{8cb0d898-a6a2-48c3-bbd7-862f85b18d46} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{c1de446a-8770-4621-9378-f1922c74a36c} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\Typelib\{431d251c-b43a-47d7-b4f4-07a101b432d6} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\BitAccelerator (Trojan.BHO) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    31
    Вес репутации
    35
    Удалил, проблема осталась.

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,559
    Вес репутации
    3022
    Все Ваши маршруты вполне легитимные
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    31
    Вес репутации
    35
    Это понятно, но то что они возникают сами - не нормально.
    Когда включаешь, например, uTorrent список маршрутов вырастает до огромного размера.

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,559
    Вес репутации
    3022
    А как по Вашему работать торрент-клиенту, если идет прием и раздача информации???
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    31
    Вес репутации
    35
    Я понимаю, что торрент-клиент открывает и принимает много соединений.
    Меня смущает то, что с недавнего времени они начали прописываться в таблицу маршрутизации (для любой программы, окрывающей соединения).
    По-моему открытие соединений не должно приводить в созданию прямого маршрута на Destination IP в таблице маршрутизации. На этот счет для внешних адресов (если руками не задано иное) должно быть одно единственное правило (маршрут по умолчанию):
    Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
    0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.20 ХХ
    а не туча маршрутов по одному на каждый конкретный адрес.

    Добавлено через 6 часов 31 минуту

    У меня есть подозрение, что эта зараза запускается через скрипты Opera.
    Подскажите, как проверить?
    Последний раз редактировалось Sosna; 22.08.2010 в 19:08. Причина: Добавлено

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 19
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Sosna, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. меняются маршруты
      От NeRoN78 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 11.12.2011, 12:14
    2. постоянно появляются новые маршруты
      От Ivanushka в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 21.10.2011, 12:18
    3. Появляются странные маршруты
      От Deez в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.02.2011, 06:08
    4. Ответов: 4
      Последнее сообщение: 28.09.2010, 14:52
    5. Прописываются маршруты
      От fragpit в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 01.07.2010, 14:41

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00737 seconds with 17 queries