-
Junior Member
- Вес репутации
- 50
Широковещательный вирус
У нас на сети последнее время завелся вирус создающий брудкаст рассылку от абонентов, приводящую к дисконнектам и снижению скорости инета, из-за загруженности канала. Так как работаю в техподдержке своей сети, имею доступ к циске на моём доме. В логах на моём порту появился брудкаст шторм. Как следствие всех на домашних компах инет тормозит. Один из них макбук, его из проверки пока исключил. На личном ПК есть ряд непонятных мне вещей.
Наблюдаемые симптомы:
1. Кроме того что инет тормозит, не доступны некоторые ресурсы в том числе z-oleg.com и virusinfo.info
сами ресурсы не пингуются, трасерт не проходит.
команда route print показывает статические маршруты к этим ресурсам
после удаления маршрута в ручную (т.е. route delete 89.108.66.0 для сайта z-oleg.com) ресурс начинает пинговатся и открывается в браузере.
2. AVZ и HiJackThis запускаются на секунду и потом закрываются. В безопасном то же самое. В безопасном с поддержкой командной строки запускаются нормально, но скачать обновления из-за этого не возможно.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\f17ba1e1.exe,C:\WINDOWS\system32\fcxrus.exe,
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\vdowave.drv','');
QuarantineFile('C:\WINDOWS\system32\fcxrus.exe','');
QuarantineFile('C:\WINDOWS\system32\f17ba1e1.exe','');
DeleteFile('C:\WINDOWS\system32\f17ba1e1.exe');
DeleteFile('C:\WINDOWS\system32\fcxrus.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ClearHostsFile;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 50
повторные логи
Сорри что долго не отвечал. Не было инета.
Карантин выслал, логи выкладываю.
-
-
-
Junior Member
- Вес репутации
- 50
Проблема с статическими маршрутами и закрывающимся AVZ решена.
Сейчас проверяю скорость работы инета. Есть подозрение что виноват макбук, так как в его отсутствие проблем со скоростью нет.
-
Junior Member
- Вес репутации
- 50
Проблема с брудкастами сохраняется. На порту циски продолжают появляться сообщения о брудкаст шторме с моего порта. Так как в течение 12 часов, когда регистрировался факт рассылки, был подключен только мой комп, минуя роутер. В тот же момент провел запустил WireShark, что бы последить за трафиком. Если требуется могу выслать его лог.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения вредоносные программы в карантинах не обнаружены
-
