Блокировка доступа в интернет, непонятная сетевая активность

**Qewest** · 15.01.2011, 17:36

Здравствуйте.

Периодически создается ощущение, что к компьютеру кто-то пытается получить доступ.
Всё началось с того, что блокировался доступ к интернету. Пинг шел, трассировка тоже в норме, но сайты не грузились ни в одном браузере: при нажатии на кнопку "обновить" не происходило никаких действий.

Позже начал замечать, что сканируются порты. Через "Сетевые подключения" в Eset Smart Security увидел, что в некоторых процессах, которые работают на фиксированных портах (в основном в apache - 80 порт), появляются дополнительные порты и именно в этот момент блокируется доступ к интернету. Вчера были такие порты: 4573, 4574... Сегодня уже 4682, 4683 и т.д. В диспетчере задач AVZ процесс System выделяется красным цветом с пометкой типа - маскировка RootKit User Mode.
Перезагрузка исправляет ситуацию, но ненадолго.

Помогите решить проблему.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Nikkollo** · 15.01.2011, 21:01

Здравствуйте.

Выполните скрипт в AVZ:

Код:

begin
QuarantineFile('C:\WINDOWS\system32\drivers\wdmaud.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Файл Hosts сами правили?

**Qewest** · 16.01.2011, 02:10

Пытался 3 раза выполнить скрипт, последний раз в безопасном режиме - карантин пустой и файлик quarantine.zip весит всего 22 байта. Вручную через "Файл"-"Добавление в карантин по списку" тоже не получилось. Пишет, что скрипт выполнен, а в итоге карантин пустой.
Попробовал переустановить AVZ - тоже самое.
Запаковал wdmaud.sys и выслал архивом.

Файл сохранён как 110116_020459_wdmaud_4d32281bae8ee.zip
Размер файла 46258
MD5 df05d8dc74a5e2cfa7ed1e7bbd4eabcf

Насчет файла hosts - да, все правки наши

**Nikkollo** · 16.01.2011, 12:42

Файл безопасный.

Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) - {63432924-FF0F-4F2D-BA15-FE46454977A3} - (no file)
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\userinit.exe
O2 - BHO: (no name) - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Повторите лог HijackThis и приложите в теме.

Выполните скрипт в AVZ отсюда:
http://df.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.

Так же прошу выполнить эту процедуру и загрузить там получившийся файл:
http://virusinfo.info/showthread.php?t=3519
Информацию о загрузке приложите здесь.

**Qewest** · 16.01.2011, 14:48

Сообщение от Nikkollo

Пофиксите в HijackThis.
Повторите лог HijackThis и приложите в теме.

Готово

Сообщение от Nikkollo

Выполните скрипт в AVZ отсюда:
http://df.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.

Сделано

Сообщение от Nikkollo

Так же прошу выполнить эту процедуру и загрузить там получившийся файл:
http://virusinfo.info/showthread.php?t=3519
Информацию о загрузке приложите здесь.

Ок

Код:

 
Файл сохранён как 110116_144558_virusinfo_files_ASSMAX_4d32da7630c77.zip 
Размер файла 29270610 
MD5 3ce8495e64d654689e7765884746410c

**Nikkollo** · 17.01.2011, 15:53

Обновите Adobe Flash Player по ссылке, указанной в avz_log.txt.

**Qewest** · 17.01.2011, 19:03

Спасибо, обновил.
Какие-нибудь логи нужно повторить?

**Nikkollo** · 18.01.2011, 13:56

Сделайте еще лог MBAM:
http://virusinfo.info/showthread.php?t=53070
и приложите.

**Qewest** · 22.01.2011, 18:53

Лог MBAM cделал.
Нашлось несколько подозрительных параметров в реестре.

Также возникла еще одна проблема - после 8-10 часов работы компьютера перестают запускаться файлы .exe. Сначала меню (если к примеру запускаю из меню "пуск" браузер) зависает секунд на 30-40, потом высвечивается сообщение, что нет прав на выполнение этого действия. Использую учётную запись администратора.

**Qewest** · 22.01.2011, 19:36

Вот, сейчас смог сделать логи avz в момент пропадания интернета, о чем я писал в первом посте.
Беспокоит "ошибка чтения машинного кода".

**Nikkollo** · 22.01.2011, 20:51

Удалите в MBAM:

Код:

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rundll32.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
c:\program files\microsoft common (Trojan.Agent) -> No action taken.
j:\торрент-уликс\Софт\stamp-v0.85_kassy-v0.71\ky071p\loader.exe (Trojan.Kates) -> No action taken.
c:\documents and settings\administrator\application data\fieryads.dat (Adware.FieryAds) -> No action taken.

Так же выполните у себя этот инструмент:
http://support.kaspersky.ru/faq/?qid=208636943
Отпишитесь, было ли что-нибудь найдено.

Повторите лог virusinfo_syscheck.zip и приложите в теме.

**Qewest** · 23.01.2011, 21:55

Указанные пункты в Mbam'e удалил, прикладываю лог.KatesKiller ничего не нашел - всё по нулям.

Лог virusinfo_syscheck.zip прикладываю.

**Nikkollo** · 25.01.2011, 11:43

Плохого в логах не обнаружил.

**Qewest** · 25.01.2011, 15:20

Попробую еще раз просканировать, только CureIT и выложить новые логи.

Теперь с периодичностью в 5-8 часов отказываются запускаться exe'шники. Вылетает ошибка, дословно: "Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту". При этом заметил, что зависает программа, в которой работал в момент начала блокировки: обычно браузер, часто qip.
Вы не знаете, это как-то может быть связано с ошибками операционной системы, а не с вирусами?
ОС: Windows XP Professional SP3, лицензия.

**Nikkollo** · 25.01.2011, 17:05

На каком диске находятся эти экзешники?
Что из себя представляют диски J и T?

**Qewest** · 25.01.2011, 19:02

Экзешники находятся на C и на J - браузеры, авз, всё отказывается открываться. Есть подозрения, что блокирует outpost. Попробую на сутки его выгрузить.

Диски C, D, J, K - локальные диски (два винчестера разбиты на 4 раздела). Диск T - серверный (целиком лежит на локальном диске K)

**Nikkollo** · 25.01.2011, 21:33

Сообщение от Qewest

Диск T - серверный (целиком лежит на локальном диске K)

То есть этот компьютер работает как сервер? Я правильно понял?

**CyberHelper** · 26.01.2011, 21:33

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Блокировка доступа в интернет, непонятная сетевая активность (заявка № 95373)

Опции темы

Блокировка доступа в интернет, непонятная сетевая активность

Итог лечения

Похожие темы

Непонятная сетевая активность

Непонятная сетевая активность

Непонятная сетевая активность!

Непонятная сетевая активность

Непонятная сетевая активность

Ваши права в разделе