-
Junior Member
- Вес репутации
- 50
Улетает исходящий трафик со скоростью 40к пакетов в 5 минут.
Нуждаюсь в помощи. По всем признакам похоже на "Kido". Изначально были проблемы с открытием антивирусных сайтов. Это поправил скриптом, выполненным в AVZ. Скрипт нашел здесь, на форуме. Так же выполнял проверку в безопасном режиме актуальной версией Cure It. Было найдено несколько троянов, которые в итоге были удалены. Видимого результата это не дало. ОС - сборка от "зверя". Только что обновил её до самого актуального sp3, по этому с заплатками проблемы быть не может. Как все это я обнаружил - стал плохо работать интернет (вечером), этому особого значения не придал, т.к. он частенько плохо работает именно вечером. На следующий день стал разбираться, когда увидел что исходящие пакеты в несколько сотен раз превышают входящие - поставил outpost firewall. Получилась следующая картина - при запущенном firewall процесс svchost нагружает ЦП ~на 60%, а процесс lsass на остальные 40%. При этом пакеты отправляются нормально, firewall их держит. Стоит его отключить - как тут же нагрузка на ЦП падает до 0%, а пакеты начинают стремительно бежать в неизвестном направлении. Штатный антивирус - NOD32, постоянно обновлялся, работал непрерывно, вирусов он не обнаруживал. Логи прилагаю ниже. Надеюсь на скорую помощь, работа стоит
Последний раз редактировалось Enth; 15.05.2011 в 20:00.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Плохого не увидел.
1.
Сообщение от
Enth
ОС - сборка от "зверя"
2. Проверьте, возможно это одна из установленных программ
-
-
Junior Member
- Вес репутации
- 50
Venus Doom , да нет, кроме аутпоста ничего не ставил. Еще замечена такая тенденция - выключил NOD32 что бы делать логи - пакеты пришли в норму. С инетом точно все нормально - проверял на буке.
Добавлено через 6 минут
Хотя вот как вариант - лазил по порно сайтам, мне несколько раз выдавало полноразмерное окно с иероглифами как hex в файле. Только что заметил на рабочем столе файл "tmp.tmp". Такого у меня не было... Такой же файл имеется по следующим адресам:
C:\Documents and Settings\Enth
C:\Program Files\QIP
C:\WINDOWS\system32
D:\ProГраммы\Garena\plugins\UI
C:\Documents and Settings\Enth\Local Settings\Application Data\Google\Chrome\Application\5.0.375.99
Добавлено через 6 минут
+ вот такое "C:\WINDOWS\system32\drivers\afwcore.sys" в подозрительных объектах. Подозрение на RootKit. Перехватчик KernelMode. Может вы не заметили!?
Последний раз редактировалось Enth; 04.09.2010 в 16:10.
Причина: Добавлено
-
Сделайте лог: http://virusinfo.info/showthread.php?t=53070
+ вот такое "C:\WINDOWS\system32\drivers\afwcore.sys" в подозрительных объектах. Подозрение на RootKit. Перехватчик KernelMode. Может вы не заметили!?
Заметил, это от антивируса AVAST!
-
-
Junior Member
- Вес репутации
- 50
Аваста никогда не было, это точно! Может быть это от аутпоста.
Последний раз редактировалось Enth; 15.05.2011 в 20:00.
-
Сообщение от
Enth
Аваста никогда не было, это точно! Может быть это от аутпоста.
Да, спутал, прошу прощения.
Удалите с МВАМ:
Код:
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
Файлы tmp.tmp тоже удалите.
-
-
Junior Member
- Вес репутации
- 50
Venus Doom, keylog удалил. С tmp.tmp получилась загвоздка - после перезагрузки он создается только в папке system32. Отправка пакетов и загрузка ЦП - без изменений.
Добавлено через 6 минут
Может стоит копать в сторону процессов svchost и lsass, так как именно на них влияет аутпост, не давая пакетам хаотично отправляться, как в следствии - поднятие нагрузки на ЦП до 100%...
Последний раз редактировалось Enth; 04.09.2010 в 17:49.
Причина: Добавлено
-
Подготовьте новый комплект логов
-
-
Junior Member
- Вес репутации
- 50
Последний раз редактировалось Enth; 15.05.2011 в 20:00.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mdswieos.dll','');
DeleteFile('C:\WINDOWS\system32\mdswieos.dll');
RegKeyStrParamWrite('HKLM','system\currentcontrolset\control\securityproviders','SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Замечена странная особенность - когда делаю лог syscure.zip отключаю интернет как сказано в инструкции, после создания лога - включаю что бы создать следующий лог, но интернет не хочет работать, отправляет/принимает пару пакетов и все. Тип соединения DHCP (провайдер высылает настройки сети по запросу компьютера). После выполнения выше указанного скрипта поведение трафика и загрузка ЦП пришли в норму. Файл карантина вроде бы отправил... Так же прилагаю логи:
Последний раз редактировалось Enth; 15.05.2011 в 20:00.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Спасибо, проблема воде бы решена, но остались симптомы, при закрытии любых программ, компьютер стоит в бездействии где-то секунду, потом только закрывает. Что это может быть?
Добавлено через 2 часа 19 минут
Да, это совсем не радует, при открытии/закрытии фильма/винампа компьютер полностью подвисает, даже курсор не шевелится.
Добавлено через 5 часов 11 минут
Так же только что обнаружил - при попытке открыть что то через "Выполнить" - винда зависает.
Последний раз редактировалось Enth; 06.09.2010 в 00:32.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 50
В общем принял решение переставить систему. Проблема решена.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\mdswieos.dll - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4779938, AVAST4: Win32:Malware-gen )
-