Показано с 1 по 15 из 15.

Улетает исходящий трафик со скоростью 40к пакетов в 5 минут. (заявка № 87190)

  1. #1
    Junior Member Репутация
    Регистрация
    04.09.2010
    Сообщений
    61
    Вес репутации
    50

    Улетает исходящий трафик со скоростью 40к пакетов в 5 минут.

    Нуждаюсь в помощи. По всем признакам похоже на "Kido". Изначально были проблемы с открытием антивирусных сайтов. Это поправил скриптом, выполненным в AVZ. Скрипт нашел здесь, на форуме. Так же выполнял проверку в безопасном режиме актуальной версией Cure It. Было найдено несколько троянов, которые в итоге были удалены. Видимого результата это не дало. ОС - сборка от "зверя". Только что обновил её до самого актуального sp3, по этому с заплатками проблемы быть не может. Как все это я обнаружил - стал плохо работать интернет (вечером), этому особого значения не придал, т.к. он частенько плохо работает именно вечером. На следующий день стал разбираться, когда увидел что исходящие пакеты в несколько сотен раз превышают входящие - поставил outpost firewall. Получилась следующая картина - при запущенном firewall процесс svchost нагружает ЦП ~на 60%, а процесс lsass на остальные 40%. При этом пакеты отправляются нормально, firewall их держит. Стоит его отключить - как тут же нагрузка на ЦП падает до 0%, а пакеты начинают стремительно бежать в неизвестном направлении. Штатный антивирус - NOD32, постоянно обновлялся, работал непрерывно, вирусов он не обнаруживал. Логи прилагаю ниже. Надеюсь на скорую помощь, работа стоит
    Последний раз редактировалось Enth; 15.05.2011 в 20:00.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Плохого не увидел.

    1.
    Цитата Сообщение от Enth Посмотреть сообщение
    ОС - сборка от "зверя"
    2. Проверьте, возможно это одна из установленных программ

  4. #3
    Junior Member Репутация
    Регистрация
    04.09.2010
    Сообщений
    61
    Вес репутации
    50
    Venus Doom , да нет, кроме аутпоста ничего не ставил. Еще замечена такая тенденция - выключил NOD32 что бы делать логи - пакеты пришли в норму. С инетом точно все нормально - проверял на буке.

    Добавлено через 6 минут

    Хотя вот как вариант - лазил по порно сайтам, мне несколько раз выдавало полноразмерное окно с иероглифами как hex в файле. Только что заметил на рабочем столе файл "tmp.tmp". Такого у меня не было... Такой же файл имеется по следующим адресам:

    C:\Documents and Settings\Enth
    C:\Program Files\QIP
    C:\WINDOWS\system32
    D:\ProГраммы\Garena\plugins\UI
    C:\Documents and Settings\Enth\Local Settings\Application Data\Google\Chrome\Application\5.0.375.99

    Добавлено через 6 минут

    + вот такое "C:\WINDOWS\system32\drivers\afwcore.sys" в подозрительных объектах. Подозрение на RootKit. Перехватчик KernelMode. Может вы не заметили!?
    Последний раз редактировалось Enth; 04.09.2010 в 16:10. Причина: Добавлено

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Сделайте лог: http://virusinfo.info/showthread.php?t=53070

    + вот такое "C:\WINDOWS\system32\drivers\afwcore.sys" в подозрительных объектах. Подозрение на RootKit. Перехватчик KernelMode. Может вы не заметили!?
    Заметил, это от антивируса AVAST!

  6. #5
    Junior Member Репутация
    Регистрация
    04.09.2010
    Сообщений
    61
    Вес репутации
    50
    Аваста никогда не было, это точно! Может быть это от аутпоста.
    Последний раз редактировалось Enth; 15.05.2011 в 20:00.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Цитата Сообщение от Enth Посмотреть сообщение
    Аваста никогда не было, это точно! Может быть это от аутпоста.
    Да, спутал, прошу прощения.

    Удалите с МВАМ:
    Код:
    C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
    Файлы tmp.tmp тоже удалите.

  8. #7
    Junior Member Репутация
    Регистрация
    04.09.2010
    Сообщений
    61
    Вес репутации
    50
    Venus Doom, keylog удалил. С tmp.tmp получилась загвоздка - после перезагрузки он создается только в папке system32. Отправка пакетов и загрузка ЦП - без изменений.

    Добавлено через 6 минут

    Может стоит копать в сторону процессов svchost и lsass, так как именно на них влияет аутпост, не давая пакетам хаотично отправляться, как в следствии - поднятие нагрузки на ЦП до 100%...
    Последний раз редактировалось Enth; 04.09.2010 в 17:49. Причина: Добавлено

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Подготовьте новый комплект логов

  10. #9
    Junior Member Репутация
    Регистрация
    04.09.2010
    Сообщений
    61
    Вес репутации
    50
    Новый комплект логов:
    Последний раз редактировалось Enth; 15.05.2011 в 20:00.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\mdswieos.dll','');
     DeleteFile('C:\WINDOWS\system32\mdswieos.dll');
    RegKeyStrParamWrite('HKLM','system\currentcontrolset\control\securityproviders','SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    04.09.2010
    Сообщений
    61
    Вес репутации
    50
    Замечена странная особенность - когда делаю лог syscure.zip отключаю интернет как сказано в инструкции, после создания лога - включаю что бы создать следующий лог, но интернет не хочет работать, отправляет/принимает пару пакетов и все. Тип соединения DHCP (провайдер высылает настройки сети по запросу компьютера). После выполнения выше указанного скрипта поведение трафика и загрузка ЦП пришли в норму. Файл карантина вроде бы отправил... Так же прилагаю логи:
    Последний раз редактировалось Enth; 15.05.2011 в 20:00.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Ничего плохого не видно
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    04.09.2010
    Сообщений
    61
    Вес репутации
    50
    Спасибо, проблема воде бы решена, но остались симптомы, при закрытии любых программ, компьютер стоит в бездействии где-то секунду, потом только закрывает. Что это может быть?

    Добавлено через 2 часа 19 минут

    Да, это совсем не радует, при открытии/закрытии фильма/винампа компьютер полностью подвисает, даже курсор не шевелится.

    Добавлено через 5 часов 11 минут

    Так же только что обнаружил - при попытке открыть что то через "Выполнить" - винда зависает.
    Последний раз редактировалось Enth; 06.09.2010 в 00:32. Причина: Добавлено

  15. #14
    Junior Member Репутация
    Регистрация
    04.09.2010
    Сообщений
    61
    Вес репутации
    50
    В общем принял решение переставить систему. Проблема решена.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\mdswieos.dll - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4779938, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Enth, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Улетает трафик
      От canopy в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 29.12.2010, 22:44
    2. Улетает трафик
      От Vlaad в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 01.03.2009, 21:06
    3. Улетает трафик
      От Старцев Василий в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 04:57
    4. Трафик улетает
      От cheetah в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:21
    5. Улетает трафик
      От Vedmedya в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.05.2008, 21:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01513 seconds with 17 queries