Показано с 1 по 18 из 18.

Блокировка доступа в интернет, непонятная сетевая активность (заявка № 95373)

  1. #1
    Junior Member Репутация
    Регистрация
    15.01.2011
    Сообщений
    9
    Вес репутации
    26

    Exclamation Блокировка доступа в интернет, непонятная сетевая активность

    Здравствуйте.

    Периодически создается ощущение, что к компьютеру кто-то пытается получить доступ.
    Всё началось с того, что блокировался доступ к интернету. Пинг шел, трассировка тоже в норме, но сайты не грузились ни в одном браузере: при нажатии на кнопку "обновить" не происходило никаких действий.

    Позже начал замечать, что сканируются порты. Через "Сетевые подключения" в Eset Smart Security увидел, что в некоторых процессах, которые работают на фиксированных портах (в основном в apache - 80 порт), появляются дополнительные порты и именно в этот момент блокируется доступ к интернету. Вчера были такие порты: 4573, 4574... Сегодня уже 4682, 4683 и т.д. В диспетчере задач AVZ процесс System выделяется красным цветом с пометкой типа - маскировка RootKit User Mode.
    Перезагрузка исправляет ситуацию, но ненадолго.

    Помогите решить проблему.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Здравствуйте.

    Выполните скрипт в AVZ:
    Код:
    begin
    QuarantineFile('C:\WINDOWS\system32\drivers\wdmaud.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Файл Hosts сами правили?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  4. #3
    Junior Member Репутация
    Регистрация
    15.01.2011
    Сообщений
    9
    Вес репутации
    26
    Пытался 3 раза выполнить скрипт, последний раз в безопасном режиме - карантин пустой и файлик quarantine.zip весит всего 22 байта. Вручную через "Файл"-"Добавление в карантин по списку" тоже не получилось. Пишет, что скрипт выполнен, а в итоге карантин пустой.
    Попробовал переустановить AVZ - тоже самое.
    Запаковал wdmaud.sys и выслал архивом.

    Файл сохранён как 110116_020459_wdmaud_4d32281bae8ee.zip
    Размер файла 46258
    MD5 df05d8dc74a5e2cfa7ed1e7bbd4eabcf
    Насчет файла hosts - да, все правки наши

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Файл безопасный.

    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) - {63432924-FF0F-4F2D-BA15-FE46454977A3} - (no file)
    R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\userinit.exe
    O2 - BHO: (no name) - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    Повторите лог HijackThis и приложите в теме.

    Выполните скрипт в AVZ отсюда:
    http://df.ru/~kad/ScanVuln.txt
    Файл avz_log.txt из папки AVZ\LOG приложите в теме.

    Так же прошу выполнить эту процедуру и загрузить там получившийся файл:
    http://virusinfo.info/showthread.php?t=3519
    Информацию о загрузке приложите здесь.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  6. #5
    Junior Member Репутация
    Регистрация
    15.01.2011
    Сообщений
    9
    Вес репутации
    26
    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Пофиксите в HijackThis.
    Повторите лог HijackThis и приложите в теме.
    Готово


    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Выполните скрипт в AVZ отсюда:
    http://df.ru/~kad/ScanVuln.txt
    Файл avz_log.txt из папки AVZ\LOG приложите в теме.
    Сделано


    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Так же прошу выполнить эту процедуру и загрузить там получившийся файл:
    http://virusinfo.info/showthread.php?t=3519
    Информацию о загрузке приложите здесь.
    Ок
    Код:
     
    Файл сохранён как 110116_144558_virusinfo_files_ASSMAX_4d32da7630c77.zip 
    Размер файла 29270610 
    MD5 3ce8495e64d654689e7765884746410c

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Обновите Adobe Flash Player по ссылке, указанной в avz_log.txt.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  8. #7
    Junior Member Репутация
    Регистрация
    15.01.2011
    Сообщений
    9
    Вес репутации
    26
    Спасибо, обновил.
    Какие-нибудь логи нужно повторить?

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Сделайте еще лог MBAM:
    http://virusinfo.info/showthread.php?t=53070
    и приложите.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  10. #9
    Junior Member Репутация
    Регистрация
    15.01.2011
    Сообщений
    9
    Вес репутации
    26
    Лог MBAM cделал.
    Нашлось несколько подозрительных параметров в реестре.

    Также возникла еще одна проблема - после 8-10 часов работы компьютера перестают запускаться файлы .exe. Сначала меню (если к примеру запускаю из меню "пуск" браузер) зависает секунд на 30-40, потом высвечивается сообщение, что нет прав на выполнение этого действия. Использую учётную запись администратора.

  11. #10
    Junior Member Репутация
    Регистрация
    15.01.2011
    Сообщений
    9
    Вес репутации
    26
    Вот, сейчас смог сделать логи avz в момент пропадания интернета, о чем я писал в первом посте.
    Беспокоит "ошибка чтения машинного кода".

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Удалите в MBAM:
    Код:
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rundll32.exe (Security.Hijack) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
    c:\program files\microsoft common (Trojan.Agent) -> No action taken.
    j:\торрент-уликс\Софт\stamp-v0.85_kassy-v0.71\ky071p\loader.exe (Trojan.Kates) -> No action taken.
    c:\documents and settings\administrator\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
    Так же выполните у себя этот инструмент:
    http://support.kaspersky.ru/faq/?qid=208636943
    Отпишитесь, было ли что-нибудь найдено.

    Повторите лог virusinfo_syscheck.zip и приложите в теме.
    Последний раз редактировалось Nikkollo; 22.01.2011 в 20:56.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  13. #12
    Junior Member Репутация
    Регистрация
    15.01.2011
    Сообщений
    9
    Вес репутации
    26
    Указанные пункты в Mbam'e удалил, прикладываю лог.KatesKiller ничего не нашел - всё по нулям.

    Лог virusinfo_syscheck.zip прикладываю.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Плохого в логах не обнаружил.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  15. #14
    Junior Member Репутация
    Регистрация
    15.01.2011
    Сообщений
    9
    Вес репутации
    26
    Попробую еще раз просканировать, только CureIT и выложить новые логи.

    Теперь с периодичностью в 5-8 часов отказываются запускаться exe'шники. Вылетает ошибка, дословно: "Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту". При этом заметил, что зависает программа, в которой работал в момент начала блокировки: обычно браузер, часто qip.
    Вы не знаете, это как-то может быть связано с ошибками операционной системы, а не с вирусами?
    ОС: Windows XP Professional SP3, лицензия.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    На каком диске находятся эти экзешники?
    Что из себя представляют диски J и T?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  17. #16
    Junior Member Репутация
    Регистрация
    15.01.2011
    Сообщений
    9
    Вес репутации
    26
    Экзешники находятся на C и на J - браузеры, авз, всё отказывается открываться. Есть подозрения, что блокирует outpost. Попробую на сутки его выгрузить.

    Диски C, D, J, K - локальные диски (два винчестера разбиты на 4 раздела). Диск T - серверный (целиком лежит на локальном диске K)

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Цитата Сообщение от Qewest Посмотреть сообщение
    Диск T - серверный (целиком лежит на локальном диске K)
    То есть этот компьютер работает как сервер? Я правильно понял?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Qewest, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Непонятная сетевая активность
      От Serenum в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.07.2012, 22:44
    2. Непонятная сетевая активность
      От mytho в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 05:58
    3. Непонятная сетевая активность!
      От max55 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 31.07.2008, 09:55
    4. Непонятная сетевая активность
      От wzrd в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.07.2008, 15:02
    5. Непонятная сетевая активность
      От cylon в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.08.2006, 18:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00176 seconds with 16 queries