Не ловится вирус. Компьютер ломится в И-нет по 80 порту.
Доброе время суток.
С моей машины устанавливаются соединения с интернетом. Это видно на шлюзе, в логах НАТа.
Машину прогнал SAV10, AVZ, RootkibBuster (Trend), TCPView, - абсолютно ничего. Sysinternal PE тоже, ничего подозрительного не показывает. В автозапуске ничего сверхподозрительного. На всякий случай почистил до минимума.
Пришлось поставить Аутпост.
Сначала вроде отловилось соединение от msgsys.exe xfr.exe по указанным сайтам. Заблокировал. Отправил на virustotal: services, csrss, msgsys, xfr.
Ничего.
Примечательно, что перед установлением соединения services.exe ДНСил и пинговал сайты flb.com blackhole-1.iana.org blackhole-2.iana.org prisoner.iana.org. сам он (services) по данным virustotal чист.
Самое интересное. С включеным блокированием сетевой активности кроме ДНС в режиме обучения- эта машина перестает коннектиться. Но стоит мне разрешить соединение по RDP к шлюзу, опять туева хуча коннектов. И в процессах Аутпоста НИЧЕГО! Кроме коннекта по РДП разумеется...
Проделал все то, что полагалось в правилах постинга.
Сейчас все еще servises пытается резолвить blackhole-1.iana.org, аутпост блокирует.... Если разрешить - ломится на 200.39.9.0...
Что еще можно предпринять? В смысле зверька поймать. Форматнуть всегда успеется.
PS
Забавно, но другие машины в этой сетке не ломятся в интернет, молчат. ОС проблемной машины W2000, остальных - XP.
Последний раз редактировалось IronOre; 01.04.2007 в 09:17.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
G6 - у меня находится уже больше года. Работает только внутри локалки. Правда один единственный раз на него заходили ивне, но через ВПН. Убрал из автозагрузки и его тоже.
Странно, драйвер не устанавливается. Я так полагаю, потому что менюшка не меняется.
Тут еще кое-что обнаружилось. Оказалось что файл msvcrtd.exe не удалился из систем32. Он был заблокирован процессом svchost. ручками удалил этот файл, отключил Аутпост. Перезагрузился.
И о чудо! Пока в инет не ломится машина. Однако что-то мне подсказывает что это не все. Как удостовериться что этот \system32\msvcrtd.exe был единственный зверек на машиен и теперь можно спать спокойно?
PS
Почему этот файлик не обнаружился, когда я вручную запускал сканирование системы, и нашелся только тогда, когда выполнялся скрипт "Вылечить и отправить лог на вирусинфо"? Что за настройси сканирования вы применяете?
PPS Логи Высылать? Есть логи "до того как..." и можно сделать те, что сейчас.
AhnLab-V3 2007.4.3.1 04.03.2007 no virus found
AntiVir 7.3.1.48 04.03.2007 HEUR/Malware
Authentium 4.93.8 03.31.2007 no virus found
Avast 4.7.936.0 04.03.2007 no virus found
AVG 7.5.0.447 04.03.2007 BackDoor.Agent.EVH
BitDefender 7.2 04.03.2007 no virus found
CAT-QuickHeal 9.00 04.02.2007 (Suspicious) - DNAScan
ClamAV devel-20070312 04.03.2007 no virus found
DrWeb 4.33 04.03.2007 no virus found
eSafe 7.0.15.0 04.02.2007 Win32.Agent.alm
eTrust-Vet 30.6.3536 04.03.2007 Win32/Scynaud.A
Ewido 4.0 04.02.2007 Backdoor.Agent.alm
FileAdvisor 1 04.03.2007 no virus found
Fortinet 2.85.0.0 04.02.2007 suspicious
F-Prot 4.3.1.45 03.30.2007 no virus found
F-Secure 6.70.13030.0 04.03.2007 Backdoor.Win32.Agent.alm
Ikarus T3.1.1.3 04.03.2007 Trojan-Downloader.Win32.Agent.azg
Kaspersky 4.0.2.24 04.03.2007 Backdoor.Win32.Agent.alm
McAfee 4998 04.02.2007 New Malware.n
Microsoft 1.2306 04.03.2007 no virus found
NOD32v2 2165 04.03.2007 no virus found
Norman 5.80.02 04.02.2007 no virus found
Panda 9.0.0.4 04.02.2007 no virus found
Prevx1 V2 04.03.2007 no virus found
Sophos 4.16.0 03.30.2007 Mal/Packer
Sunbelt 2.2.907.0 04.03.2007 VIPRE.Suspicious
Symantec 10 04.03.2007 no virus found
TheHacker 6.1.6.084 04.02.2007 Backdoor/Agent.alm
VBA32 3.11.3 04.02.2007 no virus found
VirusBuster 4.3.7:9 04.02.2007 Packed/Upack
Webwasher-Gateway 6.0.1 04.03.2007 Heuristic.Malware
Надо повторно сделать логи с п.10 Да, и outpost включить.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
опять 25!
На этот адрес TCPView не видит коннектов, OutPost тоже, в журнале не покзывает соединения по указанному адресу, хотя в кеше ДНС видно, что адрес только что разрешился.
Нет, не наш провайдер.
Можно так сказать - принцип понял, но воевать со злом устал. Отформатировал.
Тем более что давно пора уже с 2000 на ХР пересесть.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: